171 27 3MB
German Pages 339 [340] Year 2018
Briner/Funk (Hrsg.) DGRI Jahrbuch 2017
Informationstechnik und Recht Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e.V.
Band 27
DGRI Jahrbuch 2017 Im Auftrag der Deutschen Gesellschaft für Recht und Informatik e.V.
herausgegeben von
Dr. Robert G. Briner Zürich und
Dr. Axel Funk Stuttgart
2018
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/937 38-01, Fax 02 21/937 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-67026-9 ©2018 by Verlag Dr. Otto Schmidt KG, Köln
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung: Lichtenford, Mettmann Satz: Datagroup Int., Timisoara Druck und Verarbeitung: Stückle, Ettenheim Printed in Germany
Editorial
Die Themen der Deutschen Gesellschaft für Recht und Informatik e. V. im Jahr 2017 spiegeln eindrücklich wider, wie die Informatik nunmehr in beinahe alle Lebensbereiche vordringt und nicht mehr aus dem täglichen Leben wegzudenken ist, sei es beruflich oder persönlich. Mehr und mehr genießen Bürger wie Unternehmen die Hilfen, Annehmlichkeiten, Sicherheiten und die jederzeitige Verfügbarkeit von Information und Kommunikation, die ohne Informatik undenkbar sind. Aber die Themen zeigen auch – und dies nicht minder eindrücklich –, wie sich die allgegenwärtige und zunehmend unverzichtbar gewordene Informatik zu einem Moloch zu entwickeln drohte, wären da nicht das Recht und eine Demokratie, welche dem Bürger Einfluss auf das Recht verleiht. Stolz trägt die DGRI zwei Begriffswelten in ihrem Namen, Recht und Informatik, deren Bedeutung durch wechselseitige Verschränkung immer eindrücklicher hervortritt, was dadurch untermauert wird, dass diese Begriffswelten den gesellschaftlichen Diskurs zunehmend bestimmen. Die Parallelen zum Kartellrecht sind unübersehbar. Zur sozusagen vertikalen Marktmacht herkömmlicher Anbieter von Produkten und Dienstleistungen gesellt sich die Informatik als horizontaler Machtfaktor, der sämtliche Lebensbereiche durchdringt. Und das ruft, nicht anders als im klassischen Kartellrecht, immer deutlicher hörbar eine Kontrolle durch das Recht auf den Plan. Im hiermit als 27. Band der DGRI-Schriftenreihe vorliegenden DGRIJahrbuch 2017 findet der Leser eine Vielfalt von Beiträgen in diesem großangelegten Umfeld. Sie zeugen nicht nur vom Können der Autoren, dessen sich DGRI und Leser erfreuen dürfen, sondern gehen in ihrer Bedeutung weit über Wissensvermittlung zu Problemen und Lösungen hinaus. Sie führen gedanklich weiter, regen an, öffnen die breite Perspektive auf das, was sich unter unseren Augen ereignet und entwickelt – gut sichtbar für den, der hinschaut. Die DGRI, ihre Mitglieder und unsere diesjährigen Autoren tun das, und es wird ihnen nicht anders ergehen als den diesjährigen Herausgebern: sie sind hin- und hergerissen zwischen Faszination und Bedenken, zwischen technischer Begeisterung und rechtlichen Vorbehalten, mit immer wiederkehrendem „ja, aber“. Die Herausgeber wünschen den DGRI-Mitgliedern und ebenso der interessierten Öffentlichkeit viel Vergnügen bei der Nachlese ausgewählter Highlights der intensiv behandelten, hochaktuellen Themen. Die Einleitung bildet die Keynote von Hubertus Gersdorf an der Jahrestagung in Köln, die sich mitten in die Materie bohrt: Internetregulierung V
Editorial
als grundrechtlicher Herkulesakt. Ein weiterer Beitrag zur Jahrestagung befasst sich mit der Lizenzierung indirekter Nutzung (Jürgen Beckers), der besonders gut zeigt, wie die schier grenzenlosen Möglichkeiten der Informatik neue Fragen aufwerfen. Wie sehr Informatik auch in das klassische Zivilrecht vordringt, zeigt der Beitrag von Louisa Specht, die sich mit Datenverwertungsverträgen befasst und „Eckpfeiler eines neuen Datenschuldrechts“ auslotet. Mit freundlicher Erlaubnis des Verlags Dr. Otto Schmidt KG dürfen wir einen in der Zeitschrift Computer und Recht erstveröffentlichten Beitrag von Axel Metzger und Peter Hoppen zum Thema der Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen bei Verwendung von Drittanbietersoftware abdrucken. In ein besonders heikles Thema – und die Frage, ob Fluch oder Segen – stößt Jan Mysegades vor: DNA-Auswertung in der Blackbox und die Frage gerichtlicher Beweisführung durch statistische Computerprogramme. Leider sehr aktuell ist schließlich der Beitrag „Fake News und Providerhaftung“ von Nikolaus Peifer. Er beleuchtet nicht zuletzt die den Providern vom Netzwerkdurchsetzungsgesetz zugewiesene und keineswegs geliebte Rolle, weil sie Kontrollturm und Schaltstelle des Internets geworden sind; das Thema „Durchleitung, Caching, Hosting“ hat größere Aktualität denn je. Am Drei-Länder-Treffen 2017 in Innsbruck war die Blockchain ein großes Thema. Was zunächst wie eine Spielerei, eine Geldmaschine (Bitcoins!) oder einfach eine neue Art von Software ausgesehen haben mag, erfasst nun unerwartete, aber eigentlich naheliegende Bereiche. Wir dürfen zunächst einen weiteren Beitrag aus der Zeitschrift Computer und Recht abdrucken: „Softwarelizenzen auf der Blockchain“ von Walter Blocher, Alexander Hoppen und Peter Hoppen. Thomas Richter beleuchtet die rechtlichen Aspekte der Blockchain in der Finanzindustrie, und Markus Kaulartz macht eine große Tour im weiten Feld der Smart Contracts. Wie neue Anwendungsgebiete der Informatik auch Rückwirkungen auf die Technologie und deren Entwicklung haben können, zeigt Reinhard Posch in seinem Beitrag „Technologiewandel am Beispiel Internet der Dinge“. Den Abschluss machen die bei den Drei-Länder-Treffen immer und zu Recht sehr beliebten Länderberichte mit den Entwicklungen in Literatur und Rechtsprechung des vergangenen Jahres (Deutschland, Isabell Conrad; Österreich, Georg Huber). Mit Freude publiziert die DGRI auch die Beiträge von zwei DSRI-Preisträgern. Graziana Kastl-Riemann hat die Auszeichnung erlangt mit ihrem Beitrag „Automatisierung im Internet – Urheber- und äußerungsrechtliche Implikationen“, Radina Stoykova mit ihrem Beitrag „Data Portability. Analysis of the legal concept with regard to the General Data Protection Regulation“. VI
Editorial
Abschließend gibt DGRI-Geschäftsführerin Veronika Fischer in der Jahres-Chronik einen Überblick über die Aktivitäten der DGRI im Jahr 2017. Wir danken Ulrich Gasper vom Verlag Dr. Otto Schmidt KG und seinen Mitarbeiterinnen und Mitarbeitern für die von viel Geduld getragene, vielfältige Unterstützung bei der Organisation und Erstellung dieses DGRI-Jahrbuchs 2017. Den Leserinnen und Lesern wünschen wir eine anregende Lektüre! Stuttgart/Zürich, im September 2018 Axel Funk, Mitglied des DGRI-Vorstands Robert G. Briner, Mitglied des DGRI-Vorstands
VII
Inhaltsübersicht* Editorial (Axel Funk/Robert G. Briner). . . . . . . . . . . . . . . . . . . . . .
V
A. Jahrestagung 2017, Köln Internetregulierung als grundrechtlicher Herkulesakt (Hubertus Gersdorf) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
Lizenzierung indirekter Nutzung: Rechtliche Grenzen des Partizipationsinteresses (Jürgen Beckers) . . . . . . . . . . . . . . . . . . . .
21
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts (Louisa Specht) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
Zur Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen bei Verwendung von Drittanbietersoftware (Axel Metzger/Peter Hoppen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
DNA-Auswertung in der Black Box? – Gerichtliche Beweisführung durch statistische Computerprogramme (Jan Mysegades) . . .
103
Fake News und Providerhaftung (Karl-Nikolaus Peifer) . . . . . . . .
121
B. Drei-Länder-Treffen 2017, Innsbruck Softwarelizenzen auf der Blockchain (Walter Blocher/ Alexander Hoppen/Peter Hoppen) . . . . . . . . . . . . . . . . . . . . . . . . .
133
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie (Thomas Richter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
165
Blockchain und Smart Contracts (Markus Kaulartz) . . . . . . . . . . .
179
Technologiewandel am Beispiel Internet der Dinge (Reinhard Posch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
191
DGRI 3-Länder-Treffen 2017: Länderbericht Deutschland (Isabell Conrad) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201
*
Ausführliche Inhaltsverzeichnisse jeweils zu Beginn der Beiträge.
IX
Inhaltsübersicht
DGRI 3-Länder-Treffen 2017: Länderbericht Österreich (Georg Huber) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
C. Preisträger der DSRI 2017 Automatisierung im Internet – Urheber- und äußerungsrechtliche Implikationen (Graziana Kastl-Riemann) . . . . . . . . . .
245
Data Portability: Analysis of the legal concept with regard to the General Data Protection Regulation (Radina Stoykova) . . . . . . . .
265
D. Jahreschronik DGRI Jahreschronik 2017 (Veronika Fischer). . . . . . . . . . . . . . . . .
289
E. Anhang Stellungnahmen der DGRI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
X
299
Internetregulierung als grundrechtlicher Herkulesakt Hubertus Gersdorf* I. Einleitung II. Erhebung und Speicherung personenbezogener Daten: Grundrechtseingriff ohne Datenkenntnis? III. Vom Datenschutz zum Datensouveränitätsschutz zum Datenrecht 1. Vom Datenschutz zum Datensouveränitätsschutz (Perspektive: Private Interessen) 2. Vom Datensouveränitätsschutz zum Datenrecht (Perspektive: Öffentliche Interessen) a) (Referenz-)Beispiel: Dispens der Medien von datenschutzrechtlichen Verpflichtungen aus öffentlichem Interesse
b) Dispens von datenschutzrechtlichen Verpflichtungen aus öffentlichem Interesse IV. Meinungsbildung durch Algorithmen 1. Veränderungen der journalistischen Tätigkeit durch Einsatz von intelligenten Systemen: Algorithmengesteuerter Datenjournalismus 2. Soziale Netzwerke: Algorithmengesteuerte Beeinflussung des Prozesses individueller und öffentlicher Meinungsbildung 3. Social Bots als Meinungsäußerung 4. Ausblick
Literaturübersicht: Caspar, Datenschutz im Verlagswesen: Zwischen Kommunikationsfreiheit und informationeller Selbstbestimmung, NVwZ 2010, 1451; Dörr, Freies Wort, freies Bild und freie Berichterstattung vs. Datenschutz? Die Fortentwicklung der kommunikativen Freiheit durch den Datenschutz, ZUM 2004, 536; Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, 19. Edition, 1.5.2017; Gersdorf, Die Reichweite der Rundfunkfreiheit am Beispiel von Intermediären, BayVBl. 2015, 625; Gersdorf, Hate Speech in sozialen Netzwerken – Verfassungswidrigkeit des NetzDG-Entwurfs und grundrechtliche Einordnung der Anbieter sozialer Netzwerke, MMR 2017, 439; Hoffmann-Riem, Verhaltenssteuerung durch Algorithmen – Eine Herausforderung für das Recht, AöR Bd. 142 (2017), 1; Hostacna, Social Bots und freie Meinungsbildung, Ad Legendum 2018, 1; Milker, „Social-Bots“ im Meinungskampf – Wie Maschinen die öffentliche Meinung beeinflussen und was wir dagegen unternehmen können, ZUM 2017, 216; Müller-Hengstenberg/Kirn, Intelligente (Software-)Agenten: Von der Automatisierung zur Autonomie? – Verselbstständigung technischer Systeme, MMR 2014, 225; Müller-Hengstenberg/Kirn, Intelligente (Software-)Agenten: Eine neue Herausforderung unseres Rechtssystems? – Rechtliche Konsequenzen der „Verselbstständigung“ technischer Systeme, MMR 2014, 307; Pille, Meinungsmacht * Prof. Dr. Hubertus Gersdorf, Universität Leipzig.
1
Hubertus Gersdorf sozialer Netzwerke, 2016; Schoch, Der verfassungsrechtliche Schutz des Fernmeldegeheimnisses (Art. 10 GG), Jura 2011, 194; Schulz/Dankert, Die Macht der Informationsintermediäre. Erscheinungsformen, Strukturen und Regulierungsoptionen, Friedrich-Ebert-Stiftung, 2016; Simitis (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl. 2014; Spindler, Durchbruch für ein Recht auf Vergessen(werden)? – Die Entscheidung des EuGH in Sachen Google Spain und ihre Auswirkungen auf das Datenschutz- und Zivilrecht, JZ 2014, 987; Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl., 2015; Zweig/Deussen/Kraft, Algorithmen und Meinungsbildung – Eine grundlegende Einführung, Informatik Spektrum 2017, 318.
I. Einleitung 1 Nicht nur die Regulierung des Internet ist ein Herkulesakt, sondern auch ihre Darstellung. Beschränkung tut Not. Im Zusammenhang mit der Internetkommunikation stellen sich zahlreiche neue Fragen der Grundrechtsdogmatik, die einer vertiefenden Behandlung bedürfen. Im Folgenden ist nur Platz für einige wenige Problemfelder. Zunächst wird der Frage nachgegangen, ob die Erhebung und die Speicherung personenbezogener Daten auch dann zu Grundrechtseingriffen führen, wenn der Staat oder Dritte von den Daten keine Kenntnis haben (können). Das Problem ist für die Fortentwicklung des staatlichen Sicherheitsrechts und des gesamten Datenschutzrechts von zentraler Bedeutung (II.). Im Anschluss hieran geht es um die Konzeption eines modernen Datenschutzrechts. Datenschutz ist Datensouveränität, und Datensouveränität ist ein Element eines übergreifenden Datenrechts (III.). Schließlich werden Verfassungsfragen einer auf Algorithmen beruhenden Meinungs- und Willensbildung behandelt. Klassische Medien bedienen sich insbesondere zur Verbreitung personalisierter Inhalte zunehmend Algorithmen; dies lässt ihren grundrechtlichen Schutz nach Art. 5 Abs. 1 Satz 1 GG unberührt. Auch soziale Netzwerke können sich auf den Schutz der Medienfreiheiten berufen, obgleich sie keine klassischen Medien verkörpern. Ebenso sind Social Bots prinzipiell durch das Grundrecht der Meinungsfreiheit des Art. 5 Abs. 1 Satz 1 GG geschützt (IV.). II. Erhebung und Speicherung personenbezogener Daten: Grundrechtseingriff ohne Datenkenntnis? 2 Das Grundrecht auf informationelle Selbstbestimmung schützt den Einzelnen vor (unbegrenzter) Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten1. Dementsprechend begründen gesetz1 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1 (43); st. Rspr, vgl. etwa BVerfGE 130, 151 (184).
2
Internetregulierung als grundrechtlicher Herkulesakt
liche Vorschriften, welche staatliche Stellen zur Erhebung, Speicherung, Verwendung oder Weitergabe personenbezogener Daten ermächtigen, in der Regel verschiedene, aufeinander aufbauende Eingriffe2. Dogmatisch noch wenig beleuchtet ist, ob bei der Erhebung und Speiche- 3 rung personenbezogener Daten ein Grundrechtseingriff auch dann anzunehmen ist, wenn staatliche Stellen oder Dritte von den Daten keine Kenntnis erlangen (können). Im Regelfall erfolgt die Erhebung und Speicherung personenbezogener Daten zu dem Zweck der weiteren Datenverarbeitung durch staatliche Stellen oder Dritte. Deshalb ist der Zugriff auf die gespeicherten Daten regelmäßig eröffnet. Erhalten staatliche Stellen oder Dritte die Möglichkeit der Kenntnisnahme der erhobenen und gespeicherten Daten, bewirken die Erhebung und Speicherung personenbezogener Daten (gesonderte) Grundrechtseingriffe. Schwieriger gestaltet sich die Lage, wenn es in Bezug auf die Datenverarbeitungsvorgänge der Erhebung und Speicherung personenbezogener Daten an einer solchen Möglichkeit der Datenkenntnis durch staatliche Stellen oder Dritte fehlt. Als Beispiel lässt sich die Speicherung von Verbindungsdaten im Rahmen der Vorratsdatenspeicherung nennen. Im Gegensatz zum Zugriff auf die gespeicherten Verbindungsdaten, der staatlichen Stellen Kenntnis von den Umständen der Kommunikationsvorgänge eröffnet, kann durch die Speicherung als solche von den gespeicherten Verbindungsdaten – unter der Voraussetzung der Gewährleistung eines hinreichenden Sicherheitskonzepts – noch niemand Kenntnis nehmen. Als weiteres Beispiel kann die – aktuell diskutierte – biometrische Gesichtserkennung auf öffentlichen Plätzen genannt werden, die einen Abgleich mit digitalen Fahndungsbeständen ermöglicht. Auch bei einer Datenerhebung und -speicherung allein zum Zweck der Anonymisierung der Daten und der weiteren Verarbeitung der anonymisierten Daten fehlt es an der Möglichkeit der Kenntnisnahme personenbezogener Daten durch staatliche Stellen oder Dritte. Die Erhebung und Speicherung personenbezogener Daten ohne Möglich- 4 keit der Kenntnisnahme durch Staat oder Dritte löst nicht den Schutzzweck aus, der die grundrechtlichen Verbürgungen des Art. 10 Abs. 1 GG und des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG kennzeichnet. Art. 10 Abs. 1 GG schützt die Vertraulichkeit der Kommunikationsinhalte und die Umstände des Kommunikationsvorganges vor Kenntnis-
2 Vgl. BVerfG v. 14.7.1999 – 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313 = CR 2001, 29 (366 f.); 115, 320 (343 f.); 120, 378 (400 f.); 125, 260 (310); 130, 151 (184); BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (215 Rz. 24).
3
Hubertus Gersdorf
nahme durch die öffentliche Gewalt3. Ebenso schützt das Grundrecht auf informationelle Selbstbestimmung vor Erhebung, Speicherung, Weitergabe und Verwendung personenbezogener Daten durch die öffentliche Gewalt. Deshalb betont das Bundesverfassungsgericht, dass das Grundrecht insbesondere dann zum Tragen kommt, wenn die Entfaltung der Persönlichkeit dadurch gefährdet wird, dass personenbezogene Informationen von staatlichen Behörden in einer Art und Weise genutzt und verknüpft werden, die Betroffene weder überschauen noch beherrschen können4. 5 Aus dem Schutzzweck des Art. 10 Abs. 1 GG, die Vertraulichkeit der Kommunikationsinhalte und der Umstände des Kommunikationsvorganges zu gewährleisten, folgt, dass in das Grundrecht nicht eingegriffen ist, wenn staatliche Stellen von Kommunikationsinhalten bzw. den Umständen des Kommunikationsvorganges keine Kenntnis nehmen (können)5. Im Hinblick auf das Grundrecht auf informationelle Selbstbestimmung hat das Bundesverfassungsgericht im Fall der elektronischen Kfz-Kennzeichenerfassung einen Grundrechtseingriff verneint, wenn die erfassten Daten unmittelbar nach ihrer Erhebung technisch wieder spurenlos, anonym und ohne die Möglichkeit, einen Personenbezug herzustellen, gelöscht werden6. Entsprechendes gilt für das Telekommunikationsgeheimnis des Art. 10 Abs. 1 GG7. Das Bundesverfassungsgericht verneint einen Eingriff in Art. 10 Abs. 1 GG, wenn Telekommunikationsvorgänge von staatlichen Stellen technikbedingt miterfasst, aber unmittelbar nach der Signalaufbereitung technisch wieder spurenlos ausgesondert werden8. In diesem Fall liegt kein – den Schutzzweck des Art. 10 Abs. 1 GG aktivierender – Geheimnisbruch vor9.
3 Vgl. nur BVerfG v. 14.7.1999 – 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313 (358) = CR 2001, 29; 106, 28 (37); 125, 260 (309). 4 Vgl. BVerfGE 118, 168 (184); 130, 151 (183). 5 Vgl. Gersdorf in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, GG, Art. 10 Rz. 29. 6 BVerfGE 120, 378 (399); vgl. auch BVerfG v. 14.7.1999 – 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313 (366) = CR 2001, 29; 107, 299 (328); 115, 320 (343). 7 Gersdorf in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, GG, Art. 10 Rz. 29; Schoch, Jura 2011, 194 (200). 8 BVerfG v. 14.7.1999 – 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313 (366) = CR 2001, 29; vgl. auch BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (215 Rz. 27). 9 Gersdorf in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, GG, Art. 10 Rz. 29; Schoch, Jura 2011, 194 (200).
4
Internetregulierung als grundrechtlicher Herkulesakt
Dementsprechend ist zweifelhaft und zumindest näher begründungsbe- 6 dürftig, dass durch eine gesetzliche Verpflichtung zur Vorratsdatenspeicherung in den Schutzbereich des Art. 10 Abs. 1 GG eingegriffen wird. Im Gegensatz zum Zugriff auf die gespeicherten Verbindungsdaten, der staatlichen Stellen Kenntnis von den Umständen der Kommunikationsvorgänge eröffnet und deshalb unzweifelhaft einen Grundrechtseingriff bewirkt10, kann durch die Speicherung als solche von den gespeicherten Verbindungsdaten noch niemand Kenntnis nehmen, sodass das Vorliegen eines Grundrechtseingriffs11 problematisch ist. Der Bruch der von Art. 10 Abs. 1 GG geschützten Vertraulichkeit der Umstände der Kommunikationsvorgänge erfolgt erst durch den der Datenspeicherung zeitlich nachgelagerten Zugriff auf die Verbindungsdaten12. Ohne (Möglichkeit der) Datenkenntnisnahme durch staatliche Stellen erscheint das Vorliegen eines Grundrechtseingriffs indes zweifelhaft. Die Eingriffsqualität der Datenspeicherungspflicht lässt sich nicht damit begründen, dass im Gegensatz zu den oben genannten Fällen bei der Vorratsdatenspeicherung die entsprechenden Daten nach ihrer Speicherung nicht sogleich gelöscht oder anonymisiert werden. Denn eine unmittelbar an eine Speicherung anknüpfende Löschung bzw. Anonymisierung ist nur ein Grund für die fehlende Möglichkeit der Kenntnisnahme durch staatliche Stellen. Auch die Vorratsdatenspeicherung als solche eröffnet staatlichen Stellen diese Möglichkeit noch nicht. Ebenso wenig lässt sich unter Hinweis darauf, dass Erhebung, Speicherung, Verwendung und Weitergabe von Kommunikationsdaten regelmäßig jeweils einen eigenständigen Grundrechtseingriff bewirken13, in der Verpflichtung zur Speicherung der Verbindungsdaten ein Grundrechtseingriff begründen14. Denn während im Regelfall durch die Erhebung und Speicherung bereits die Möglichkeit des Zugriffs auf die Kommunikationsdaten eröffnet ist, ist dies bei der Vorratsdatenspeicherung gerade nicht der Fall. Vielmehr ist insoweit zwischen der Speicherung als solcher und dem Datenzugriff durch staatliche Stellen zu unterscheiden. Die Vorratsdatenspeicherung als solche
10 BVerfGE 125, 260 (312 f.). 11 So BVerfGE 125, 260 (310 f.); vgl. bereits BVerfG v. 11.3.2008 – 1 BvR 256/08, BVerfGE 121, 1 (20) = CR 2008, 287; vgl. auch die Gesetzesbegründung BT-Drucks. 16/5846, 30; ebenso im Hinblick auf Art. 7, 8 GRCh EuGH v. 21.12.2016 – C-203/15, K&R 2017, 105 (108 Rz. 100). 12 Vgl. auch BVerfGE 125, 260 (321). 13 Vgl. BVerfG v. 14.7.1999 – 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313 (366 f.) = CR 2001, 29; 115, 320 (343 f.); 120, 378 (400 f.); 125, 260 (310); 130, 151 (184); BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (215 Rz. 24). 14 So aber BVerfGE 125, 260 (310).
5
Hubertus Gersdorf
gewährt staatlichen Stellen noch keinen Einblick in gespeicherte Verbindungsdaten. 7 Dementsprechend hat das Bundesverfassungsgericht im Verfahren des einstweiligen Rechtsschutzes den Grundrechtseingriff auch nicht mit der Datenspeicherung als solcher, sondern mit dem damit verbundenen „erheblichen Einschüchterungseffekt“ begründet15. Indes bedürfte auch diese Einschätzung des Gerichts einer näheren empirischen Abstützung, um hiermit einen Grundrechtseingriff überzeugend darlegen zu können. Es gilt zu detektieren, ob die – hier einmal als gegeben unterstellten – Einschüchterungseffekte durch die Norm oder durch Desinformation (über die Norm) entstehen. 8 Auch lässt sich ein Grundrechtseingriff nicht mit der Gefahr begründen, dass der Gesetzgeber nach Speicherung der personenbezogenen Daten den Speicherungszweck ändern könne. Zum einen dürfte dem Verfassungsrecht entgegenstehen, weil insoweit ein Fall unzulässiger echter Rückwirkung vorliegen dürfte. Vor allem aber dürfte wegen der Befristung der Datenspeicherung von 6 Monaten o.ä. keine reale Gefahr bestehen. 9 Festzuhalten ist, dass bei Lichte betrachtet bereits kein Grundrechtseingriff anzunehmen ist, wenn der Staat – wie bei der Vorratsdatenspeicherung – personenbezogene Daten erhebt und speichert, von den gespeicherten Daten aber prinzipiell keine Kenntnis erhält. Dies gilt selbstredend nur dann, wenn durch ein hinreichendes Sicherheitskonzept Sorge getragen ist, dass weder der Staat noch (unbefugte) Dritte von den gespeicherten Daten Kenntnis erhalten (können). 10 Doch selbst wenn man – in Übereinstimmung mit dem Bundesverfassungsgericht und dem Europäischen Gerichtshof – in der Vorratsdatenspeicherungspflicht für sich genommen bereits einen Grundrechtseingriff erblickte, müsste der Umstand der fehlenden Kenntnisnahme der gespeicherten Verbindungsdaten durch staatliche Stellen im Rahmen der Rechtfertigung des Grundrechtseingriffs Berücksichtigung finden. Die strengen Zulässigkeitsvoraussetzungen, die nach der Rechtsprechung des Bundesverfassungsgerichts im Fall verdachtsloser Grundrechtseingriffe mit hoher Streubreite grundsätzlich vorliegen müssen16, können
15 BVerfG v. 11.3.2008 – 1 BvR 256/08, BVerfGE 121, 1 (20) = CR 2008, 287; ähnlich im Hinblick auf Art. 7, 8 GRCh EuGH v. 21.12.2016 – C-203/15, K&R 2017, 105 (108) Rz. 100: „Gefühl zu erzeugen, dass ihr Privatleben Gegenstand ständiger Überwachung ist.“ 16 Vgl. BVerfG v. 4.4.2006 – 1 BvR 518/02, BVerfGE 115, 320 (362 ff.) = CR 2006, 594 m. Anm. Schmitz = ITRB 2006, 150.
6
Internetregulierung als grundrechtlicher Herkulesakt
im Fall der Vorratsdatenspeicherung nicht uneingeschränkt Geltung beanspruchen17. Dementsprechend vermag die Entscheidung des Bundesverwaltungsge- 11 richts zur Speicherung und Nutzung von Telekommunikations-Metadaten durch den BND vom 13.12.201718 dogmatisch nicht zu überzeugen. In dem Verfahren ging es um die Frage, ob der BND individualisierbare, also personenbezogene, Daten erheben, nach Anonymisierung speichern sowie weiterverarbeiten darf. Die Besonderheit der Datenverarbeitung durch den BND liegt darin, dass der Personenbezug nur im Zeitpunkt der Datenerhebung vorliegt. Demgegenüber werden die personenbezogenen Daten vor der Speicherung und vor der weiteren Verarbeitung automatisch anonymisiert. Ob tatsächlich eine wirksame Anonymisierung vorliegt, d. h. keine Möglichkeit der Re-Individualisierung besteht, hat das Bundesverwaltungsgericht im konkreten Fall dahingestellt gelassen19, weil es nicht nur in der Erhebung personenbezogener Daten, sondern auch in der Speicherung und in der weiteren Verarbeitung anonymisierter Daten eigenständige Grundrechtseingriffe erblickte, für die – nach Ansicht des Gerichts – das geltende Recht keine Ermächtigungsgrundlage vorsieht20. Was die Speicherung und die weitere Verarbeitung der anonymisierten 12 Daten anbelangt, ist diese Entscheidung erkennbar unzutreffend. Durch Anonymisierung der Daten wird der Personenbezug und infolgedessen der grundrechtliche Schutz nach Art. 10 Abs. 1 GG (und ebenso nach Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) aufgehoben. Entgegen der Annahme des Bundesverwaltungsgerichts kommt es insoweit nicht darauf an, ob der BND die Daten löscht. Anonymisierte Daten unterfallen a priori nicht dem Schutz des Art. 10 Abs. 1 GG oder anderer persönlichkeitsrelevanter Grundrechte. Aus diesem Grund hätte das Bundesverwaltungsgericht nicht dahinstehen lassen dürfen, ob der BND in der Lage ist, die Daten zu re-individualisieren. In diesem Fall, aber auch nur dann, liegt in der Speicherung und weiteren Verarbeitung (letztlich) nicht anonymisierter, sondern individualisierbarer, also personenbezogener Daten jeweils ein eigenständiger Grundrechtseingriff, der eine gesetzliche Grundlage erfordert.
17 Gersdorf in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, GG, Art. 10 Rz. 29. 18 BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212. 19 BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (216 Rz. 27). 20 BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (216 f. Rz. 28 ff.).
7
Hubertus Gersdorf
13 Doch auch in Bezug auf die Erhebung individualisierbarer, also personenbezogener Daten ist die Entscheidung des Bundesverwaltungsgerichts anfechtbar. Das Bundesverwaltungsgericht berücksichtigt nicht die Besonderheit des Falles, dass die personenbezogenen Daten dem BND nicht zur Kenntnis gelangen können, weil sie schon vor der Speicherung und vor der weiteren Datenverarbeitung anonymisiert werden. Hierin liegt der maßgebliche Unterschied zu den typischen Fällen, in denen staatliche Stellen von den personenbezogenen Daten in allen Phasen der Datenverarbeitung (Erhebung, Speicherung, Verwendung, Weitergabe) Kenntnis nehmen (können). 14 In seinem Urteil vom 13.12.2017 weist das Bundesverwaltungsgericht zwar (zutreffend) darauf hin, dass Telekommunikationsinhalte und -vorgänge nach Art. 10 Abs. 1 GG (nur) vor „Kenntnisnahme“ durch die öffentliche Gewalt geschützt sind21. An einer solchen den Schutz des Art. 10 Abs. 1 GG erst eröffnenden „Kenntnisnahme“ fehlt es, wenn personenbezogene Daten sofort nach ihrer Erhebung anonymisiert werden. Erst in den weiteren Phasen der Datenverarbeitung erhält der BND Kenntnis von Daten, aber eben nur von anonymisierten Daten, die nicht dem Schutz des Art. 10 Abs. 1 GG unterfallen. Entgegen der Ansicht des Bundesverwaltungsgerichts entfällt der Schutz des Art. 10 Abs. 1 GG nicht erst durch eine „Herstellung des status quo ante, das heißt durch eine vollständige und rückstandsfreie Löschung der erhobenen und gegebenenfalls bereits verarbeiteten Daten“22. Zwar ist der Verweis des Bundesverwaltungsgerichts23 auf die Rechtsprechung des Bundesverfassungsgerichts zutreffend, das einen Eingriff in Art. 10 Abs. 1 GG verneint, wenn Telekommunikationsvorgänge von staatlichen Stellen technikbedingt miterfasst, aber unmittelbar nach der Signalaufbereitung technisch wieder spurenlos ausgesondert werden24. Hieraus lässt sich indes nicht ableiten, dass das Bundesverfassungsgericht nur im Fall einer Löschung von (personenbezogenen) Daten einen Grundrechtseingriff ablehnt. Denn diese ist nur ein Grund für die fehlende Möglichkeit einer staatlichen Kenntnisnahme von (personenbezogenen) Daten. An einem Grundrechtseingriff fehlt es also nicht nur im Fall der Löschung, sondern auch dann, wenn personenbezogene Daten nach ihrer Erhebung unmittelbar anonymisiert und erst in anonymisierter Form gespeichert 21 22 23 24
8
BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (215 Rz. 24). BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (215 f. Rz. 27). BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (215 Rz. 27). BVerfG v. 14.7.1999 – 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313 (366) = CR 2001, 29; ebenso in Bezug auf das Grundrecht auf informationelle Selbstbestimmung BVerfGE 120, 378 (399).
Internetregulierung als grundrechtlicher Herkulesakt
sowie weiterverarbeitet werden. Ein staatlicher Zugriff auf anonymisierte Daten bewirkt keinen Eingriff in Art. 10 Abs. 1 GG oder in andere persönlichkeitsbezogene Grundrechte. Die Entscheidung des Bundesverwaltungsgerichts zur Speicherung und 15 Nutzung von Telekommunikations-Metadaten durch den BND erweist sich daher in grundrechtsdogmatischer Hinsicht als unzutreffend: In der Phase der Datenerhebung liegen zwar personenbezogene Daten vor, es fehlt aber an einer – den Schutz des Art. 10 Abs. 1 GG erst eröffnenden – Kenntnisnahme(-möglichkeit) durch den BND. Im Rahmen der weiteren Datenverarbeitungsvorgänge (Speicherung, Verwendung, Weitergabe) kann der BND von Daten zwar Kenntnis nehmen, aber nur von – nicht dem Schutz des Art. 10 Abs. 1 GG unterfallenden – anonymisierten Daten. Weder bei der Speicherung personenbezogener Daten noch bei der weiteren Verarbeitung anonymisierter Daten liegt ein Eingriff in Art. 10 Abs. 1 GG vor. Grundsätzlich anders zu bewerten wäre der Fall, wenn die vor der Spei- 16 cherung „anonymisierten“ Daten vom BND re-individualisiert werden könnten, also letztlich überhaupt keine wirksame Anonymisierung bestünde. Dann lägen in der Erhebung, Speicherung und in der weiteren Verarbeitung personenbezogener Daten gesonderte Grundrechtseingriffe, die jeweils einer gesetzlichen Ermächtigung bedürften. Ob eine solche Re-Individualisierung möglich ist, hätte das Bundesverwaltungsgericht nicht offenlassen dürfen25, sondern klären müssen. III. Vom Datenschutz zum Datensouveränitätsschutz zum Datenrecht Der Datenschutz bedarf der Fortentwicklung. Der Datenschutz klassi- 17 schen Zuschnitts nimmt allein diejenigen in den Blick, die ihre personenbezogenen Daten geheim halten und nicht preisgeben wollen. Das Grundrecht auf informationelle Selbstbestimmung enthält aber auch (umgekehrt) das Recht auf Preisgabe personenbezogener Daten. Mit Blick auf den doppelten Schutz des Grundrechts auf informationelle Selbstbestimmung bedarf es einer Weiterentwicklung des Datenschutzrechts zum Datensouveränitätsrecht (1.). Neben den privaten Interessen erfordern auch öffentliche Interessen eine Neukonzeption des Datensouveränitätsschutzes in Richtung eines Datenrechts (2.).
25 Vgl. nochmals BVerwG v. 13.12.2017 – 6 A 6.16, K&R 2018, 212 (216 Rz. 27).
9
Hubertus Gersdorf
1. Vom Datenschutz zum Datensouveränitätsschutz (Perspektive: Private Interessen) 18 Das Grundrecht auf informationelle Selbstbestimmung gewährleistet dem Einzelnen die Befugnis, selbst über Preisgabe und Verwendung persönlicher Daten zu bestimmen26. Ebenso wie das allgemeine Persönlichkeitsrecht entfaltet das Grundrecht auf informationelle Selbstbestimmung eine doppelte Schutzfunktion. 19 Erstens: Es ist sowohl Ausdruck des Rechts auf Selbstbewahrung als auch des Rechts auf Selbstdarstellung. Als Konkretisierung des Rechts auf Selbstbewahrung gewährleistet das allgemeine Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung dem Einzelnen einen räumlich und thematisch bestimmten Bereich, der grundsätzlich frei von unerwünschter Einsichtnahme bleiben soll27. Das Recht auf informationelle Selbstbestimmung schützt den Einzelnen vor der Kenntnisnahme seiner personenbezogenen Daten durch staatliche Stellen oder durch (private) Dritte. Während im ersten Fall das Grundrecht in seiner klassischen Abwehrfunktion Schutz bietet, gelangt das Grundrecht im horizontalen Verhältnis zwischen einzelnen Grundrechtsträgern im Wege der staatlichen Schutzpflichten zur Anwendung. 20 Zweitens: Das Grundrecht auf informationelle Selbstbestimmung enthält auch (umgekehrt) das Recht auf Selbstdarstellung, d. h. auf Preisgabe personenbezogener Daten durch den Einzelnen. Im Internet zeichnet sich bei einem Teil der Nutzer ein Paradigmenwechsel im Umgang mit persönlichen Daten ab. In sozialen Netzwerken offenbaren (nicht nur dem besonderen Schutz der Verfassung unterliegende minderjährige) Nutzer persönliche Daten, die noch vor wenigen Jahren als sakrosankt angesehen wurden und deren Veröffentlichung als „unschicklich“ verstanden wurde: Geburtsdatum, politische und religiöse Überzeugung oder gar sexuelle Orientierung. Viele offenbaren „ihre“ Daten ganz bewusst, weil sie sich davon (private und berufliche) Vorteile versprechen und weil sie das „Gen“ der auf Offenheit setzenden Rationalität des Internet in sich tragen. Geheimniskrämerei gilt als „uncool“. Diese Form autonomer Offenbarung personenbezogener Daten darf nicht als „Datenstriptease“ negativ konnotiert oder gar stigmatisiert werden, sie ist die Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung, also die Ausübung grundrechtlich geschützter Freiheit. Bereits in der Magna 26 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1 (43); 113, 29 (46); 117, 202 (228); 115, 166 (188); 118, 168 (184); 120, 274 (312); 130, 151 (183). 27 Vgl. BVerfGE 27, 344 (350 ff.); 44, 353 (372 f.); 90, 255 (260); 101, 361 (382 f.); 120, 274 (311).
10
Internetregulierung als grundrechtlicher Herkulesakt
Charta des Datenschutzrechts, im Volkszählungsurteil, hat das Bundesverfassungsgericht festgestellt, dass es Sache des Einzelnen ist, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen er persönliche Lebenssachverhalte offenbart28. Gibt der Einzelne in sozialen Netzwerken o.ä. personenbezogene Daten preis (Alter, Geschlecht, Konfession etc.), liegt darin kein Verzicht auf das Grundrecht auf informationelle Selbstbestimmung, sondern die Ausübung dieses Grundrechts29. Darüber hinaus ist die Preisgabe personenbezogener Daten regelmäßig die Wahrnehmung der Kommunikationsgrundrechte des Art. 5 Abs. 1 GG30, die einen besonderen verfassungsrechtlichen Schutz genießen. Das auf das Recht auf Offenbarung individueller Daten bezogene Schutz- 21 instrument ist das Opt-out-Verfahren. Es dient nicht nur kommerziellen Interessen des datenschutzrechtlich „Verantwortlichen“, sondern der Entfaltung des Grundrechts des Nutzers auf Preisgabe personenbezogener Daten gem. Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie der Kommunikationsgrundrechte des Art. 5 Abs. 1 GG. Der Begriff Datenschutz hat im Zusammenhang mit der klassischen 22 grundrechtlichen Funktion des status negativus weiterhin seine Berechtigung. In der horizontalen Beziehung zwischen Nutzer und Anbieter trägt er dem Doppelcharakter des Grundrechts auf informationelle Selbstbestimmung dagegen nicht hinreichend Rechnung. An die Stelle des Begriffs Datenschutz sollte die Kategorie des Datensouveränitätsschutzes treten. Mit Datensouveränität ist das Recht des Einzelnen sowohl auf Nicht-Preisgabe als auch umgekehrt auf Preisgabe seiner personenbezogenen Daten gemeint. 2. Vom Datensouveränitätsschutz zum Datenrecht (Perspektive: Öffentliche Interessen) a) (Referenz-)Beispiel: Dispens der Medien von datenschutzrechtlichen Verpflichtungen aus öffentlichem Interesse Medien und der Persönlichkeitsschutz stehen in einem natürlichen 23 Spannungsverhältnis. Journalistische Arbeit ist auf umfassende Informationsbeschaffung gerichtet. Der grundrechtliche Schutz der Medien 28 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1 (41 f.); ebenso BVerfG v. 9.3.1988 – 1 BvL 49/86, BVerfGE 78, 77 = CR 1989, 51 (84); 103, 21 (33). 29 Vgl. BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1 (43); 113, 29 (46); 130, 151 (183); Gersdorf, BayVBl. 2015, 625 (627 f.). 30 Vgl. hierzu im Einzelnen Gersdorf, BayVBl. 2015, 625 (628).
11
Hubertus Gersdorf
umfasst das Recht auf Erhebung, Speicherung, Verwendung und Weitergabe personenbezogener Daten. Demgegenüber zielt der Datenschutz auf die Verwirklichung grundrechtlichen Schutzes vor Erhebung, Speicherung, Verwendung und Weitergabe personenbezogener Daten. Die Auflösung dieses Spannungsverhältnisses ist seit jeher geregelt. Presse, öffentlich-rechtlicher und privater (linear verbreiteter Programm-)Rundfunk und Telemedien mit journalistisch-redaktionellen Inhalten genießen ein sogenanntes Medienprivileg (vgl. Art. 85 DSGVO, §§ 9c, 57, 59 RStV, § 11a SächsPresseG). Das Medienprivileg stellt die Medien bei der Wahrnehmung ihrer grundrechtlich geschützten Aufgabe von der Einhaltung der Datenschutzbestimmungen weitgehend frei. Denn sowohl ohne Erhebung, Verarbeitung und Nutzung personenbezogener Daten als auch ohne Einwilligung der jeweils Betroffenen wäre journalistische Arbeit nicht möglich. Ebenso wenig können die weiteren datenschutzrechtlichen Grundsätze der Erforderlichkeit, der Datenvermeidung und Datensparsamkeit auf Medien Anwendung finden, weil Medien auf eine umfassende Informationsbeschaffung angewiesen sind, zu der auch die Erhebung personenbezogener Daten gehört – insbesondere von Personen der Zeitgeschichte. Dieses Medienprivileg besteht nicht im individuellen Interesse der Medien, sondern im Interesse der den Medien zukommenden überindividuellen Funktion für den demokratischen Meinungsund Willensbildungsprozess31. 24 Die Exemtion der Medien von datenschutzrechtlichen Bindungen bedeutet nicht, dass kollidierende Persönlichkeitsrechte keine Geltung beanspruchen und gegenüber den Informations- und Berichterstattungsinteressen der Medien a priori zurücktreten. Der von Verfassungs wegen erforderliche Schutz der Persönlichkeitsrechte wird durch das Medienordnungsrecht und das Äußerungsrecht gewährt. Medien haben im Rahmen ihrer publizistischen Tätigkeit bestimmte journalistische Standards zu erfüllen32. Darüber hinaus bietet das Äußerungsrecht mit seinen umfangreichen Schutzinstrumenten (Widerrufs-, Unterlassungs-, Schadensersatz-, Bereicherungs- und Entschädigungsansprüche) den notwendigen Schutz in jedem Einzelfall. Die auf dem Medienprivileg beruhende Freistellung der Medien vom Datenschutzregime lässt die Verpflichtung der Medien zur Wahrung von Persönlichkeitsrechten unberührt. Medienordnungsrecht und Äußerungsrecht dienen diesen Schutzfunktionen.
31 Vgl. BVerfG v. 22.8.2000 – 1 BvR 77/96, Absatz-Nr. 9; BVerfG v. 13.9.2001 – 1 BvR 1398/01, Absatz-Nr. 8; Dix in Simitis (Hrsg.), Bundesdatenschutzgesetz, § 41 Rz. 1; Dörr, ZUM 2004, 536 (540); Mann/Smid in: Spindler/Schuster, Recht der elektronischen Medien, 7. Teil, Rz. 108. 32 Vgl. statt vieler Caspar, NVwZ 2010, 1451 ff.
12
Internetregulierung als grundrechtlicher Herkulesakt
b) Dispens von datenschutzrechtlichen Verpflichtungen aus öffentlichem Interesse Nicht nur Medien benötigen zur Erfüllung ihrer öffentlichen Aufgabe 25 (personenbezogene) Daten. Da Daten der „Rohstoff des 21. Jahrhunderts“ sind, wird sich die ökonomische und gesellschaftliche Wohlfahrt kaum durch Verknappung des (Daten-)Rohstoffs steigern lassen. Die Prinzipien des Datenschutzes, insbesondere der Grundsatz der Datensparsamkeit, lassen sich mit den Gemeinwohlinteressen kaum mehr vereinbaren. Um nur einige Beispiele zu nennen: In den Feldern Verkehr 4.0 (mobiles Fahren), der Energieversorgung (Smart Grids) oder der Gesundheit sowie Medizin (Medizindatenpools) ist eine umfassende Erhebung auch personenbezogener Daten erforderlich. Der Datenschutz klassischen Zuschnitts erweist sich zunehmend als Hemmschuh für wirtschaftliche und gesellschaftliche Innovation. Zumindest im Bereich der Datenerhebung sollten Hürden abgebaut werden, sofern gewährleistet ist, dass personenbezogene Daten nach ihrer Erhebung (wirksam) anonymisiert werden. Auf ein grundrechtlich prekäres Terrain begibt man sich dann nicht, weil – wie dargelegt (vgl. unter II.) – die Erhebung personenbezogener Daten keinen oder zumindest keinen schwerwiegenden Grundrechtseingriff darstellt, wenn die Daten nach ihrer Erhebung sofort anonymisiert werden. IV. Meinungsbildung durch Algorithmen Künstliche Intelligenz (KI) ist die Schlüsselressource des 21. Jahrhun- 26 derts. In nahezu allen Bereichen des wirtschaftlichen und gesellschaftlichen Lebens kommt intelligente Software zum Einsatz und steuert smarte Systeme. Die derzeitige Sprachsoftware verfügt über gerade einmal fünf Prozent des menschlichen Sprachniveaus. Das ist noch weit davon entfernt, was nach Ansicht des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI) die Bezeichnung KI verdient. Die Messlatte für KI soll bei 40 Prozent der menschlichen Hirnkapazitäten liegen33. Smart ist ein System nur dann, wenn es cum grano salis dem Axiom 27 menschlichen Wesens folgt, es also entwicklungs-, d. h. lernfähig ist. Offenheit und Wissensdurst sind Antriebskräfte des menschlichen Gehirns. Die Titelmusik der Sesamstraße „Wer, wie, was – wieso, weshalb, warum – wer nicht fragt, bleibt dumm!“ richtet sich zwar nur an Kinder, ist aber auch das Lebensprinzip aller anderen, aller „intelligenten“ Menschen. „Neugier ist der Motor des Lernens“ (Albert Einstein).
33 Deutsches Ärzteblatt, Jg. 114, Heft 9, 3.3.2017, 402.
13
Hubertus Gersdorf
28 Was für die Menschen gilt, gilt auch für intelligente Systeme. Smart sind sie nur dann, wenn sie möglichst viele Daten und Informationen sammeln. Hindert man sie hieran, bleiben sie in der Entwicklung zurück und stehen. Es geht ihnen dann nicht anders als Menschen, denen man Informationen vorenthält. Der – negativ konnotierte – „Datenhunger“ intelligenter Systeme ist nichts anderes als – die positiv konnotierte – Neugier des Menschen. Will man – durch Menschen gesteuerte – intelligente Systeme, müssen sie nach den Lebensprinzipien der Menschen funktionieren. Anderenfalls werden sie nicht smart, sondern „bleiben dumm“. 1. Veränderungen der journalistischen Tätigkeit durch Einsatz von intelligenten Systemen: Algorithmengesteuerter Datenjournalismus 29 Das Internet stellt eine schier unermessliche Vielzahl von Informationsquellen, Daten, Informationen, Wissen und Weisheiten bereit. Dadurch wird die Arbeit der Medien aber nicht entbehrlich. Ganz im Gegenteil: Angesichts der Informationsvielfalt kommt der durch Aggregieren, Gewichten, Selektion und Aufbereitung gekennzeichneten klassischen Funktion journalistischer Tätigkeit zunehmend größere Bedeutung zu. Allerdings wandelt sich die Arbeit des Journalismus (grundlegend). Der moderne Journalismus ist (auch) Datenjournalismus, der sich intelligenter Software bedient, um aus der Vielzahl an Informationsquellen, Daten und Informationen den für den einzelnen Beitrag relevanten Mehrwert zu gewinnen. Teilweise werden die Tätigkeiten durch entsprechend geschulte klassische Journalisten wahrgenommen, teilweise durch eigenständige Datenjournalisten, die im eigentlichen Sinne nicht mehr publizistisch arbeiten. Einige Medien wie der Bayerische Rundfunk, Der Spiegel oder Die Zeit verfügen bereits über Daten-Redaktionen, in denen Journalisten Hand in Hand mit Programmierern, Grafikern und Webdesignern zusammenarbeiten. 30 Eine wichtige Aufgabe des Onlinejournalismus besteht zudem darin, das Rezeptionsverhalten der Leser bzw. Zuhörer und Zuschauer zu analysieren und auf der Grundlage der erhobenen Daten journalistische Inhalte zu produzieren und ggf. selektiv-individualisiert zu verbreiten. Die sich im Bereich elektronischer Medien abzeichnende Tendenz zur Individualisierung (nicht nur von Werbung, sondern auch) von publizistischen Inhalten lässt erwarten, dass sich die Medien zur Erfüllung ihrer Funktionen zunehmend intelligenter Software bedienen. Algorithmen übernehmen einen (erheblichen) Teil der Steuerungsfunktionen, die bislang den in den Medienhäusern tätigen professionell arbeitenden Journalisten vorbehalten waren. Dies gilt insbesondere im Rahmen „maßgeschneiderter“, 14
Internetregulierung als grundrechtlicher Herkulesakt
individualisierter Medienangebote. Sie dienen der Ermittlung der Präferenzen des Rezipienten und dessen Bindung an den Medienanbieter. Die professionelle Arbeit der Journalisten wird durch Algorithmen teilweise ergänzt und teilweise ersetzt. Algorithmen sind kein aliud zu den publizistischen Auswahlkriterien der professionell tätigen Medien, sondern Teil derselben. Algorithmen sind publizistisch relevante Selektionsparameter moderner Medien. Für den grundrechtlichen Schutz ist allein entscheidend, dass die Medien Kontrolle über die zum Einsatz kommende intelligente Software behalten und dadurch auf den durch Art. 5 Abs. 1 GG geschützten Prozess freier individueller und öffentlicher Meinungsbildung Einfluss nehmen. 2. Soziale Netzwerke: Algorithmengesteuerte Beeinflussung des Prozesses individueller und öffentlicher Meinungsbildung Anbieter sozialer Netzwerke sind zwar keine Medienanbieter, weil sie 31 keine eigenen Inhalte nach publizistischen Gesichtspunkten auswählen und bereitstellen. Sie sind aber auch nicht schlicht inhaltsneutrale Plattformbetreiber. Ihre Tätigkeit ist durch einen „ausreichenden Inhaltsbezug“ gekennzeichnet, dessentwillen der Schutz nach Art. 5 Abs. 1 Satz 2 GG eröffnet ist34. Die Eröffnung des Schutzbereiches des Art. 5 Abs. 1 Satz 2 GG scheidet nicht schon deshalb aus, weil soziale Netzwerkbetreiber im Gegensatz zu klassischen Medienanbietern keine eigenen, sondern fremde Inhalte bereithalten35. Für den Schutz nach Art. 5 Abs. 1 Satz 2 GG ist unerheblich, ob selbst- oder fremdproduzierte Inhalte verbreitet oder bereitgehalten werden, sofern der Medienanbieter die fremden Inhalte nach professionell-journalistischen Kriterien auswählt und eine redaktionelle Gesamtverantwortung für das Angebot übernimmt36. Doch auch ohne eine solche Auswahlentscheidung und Übernahme einer redaktionellen Gesamtverantwortung für das Angebot kann die Bereithaltung von Inhalten Dritter dem Schutz des Art. 5 Abs. 1 Satz 2 GG unterfallen. Für den Bereich der Wirtschaftswerbung hat das Bundesverfassungsgericht frühzeitig entschieden, dass der Anzeigenteil der Presse, sofern er einen wertenden, meinungsbildenden Inhalt hat37, dem Schutz des Grundrechts der Pressefreiheit unterliegt, obgleich es sich um die Veröffentlichung von Inhalten der werbetreibenden Wirtschaft handelt38.
34 35 36 37
Vgl. BVerfG v. 13.1.1988 – 1 BvR 1548/82, BVerfGE 77, 346 (354). Im Einzelnen Gersdorf, MMR 2017, 439 (443). Vgl. BVerfG v. 20.2.1998 – 1 BvR 661/94, BVerfGE 97, 298 (310). Vgl. BVerfG v. 19.11.1985 – 1 BvR 934/82, BVerfGE 71, 162 (175); 102, 347 (359). 38 BVerfGE 21, 271 (278 f.); 64, 108.
15
Hubertus Gersdorf
Soweit Kommunikationsinhalte Dritter, die den Schutz der Kommunikationsgrundrechte des Art. 5 Abs. 1 Satz 1 oder 2 GG genießen, in einem Massenmedium veröffentlicht werden, schließt das Massenkommunikationsgrundrecht diesen Schutz mit ein. Mithin darf einem Massenmedium die Veröffentlichung eines fremden Kommunikationsinhalts nicht verboten werden, wenn dessen Träger die Äußerung und Verbreitung zu gestatten ist. Die Massenmedien sind kraft ihrer grundrechtlich geschützten Freiheit des Art. 5 Abs. 1 Satz 2 GG berechtigt, die Verletzung von Kommunikationsgrundrechten Dritter geltend zu machen. Ein Verstoß gegen die Kommunikationsgrundrechte Dritter verletzt (zugleich) die Grundrechte der Massenmedien aus Art. 5 Abs. 1 Satz 2 GG39. Auch in anderen Zusammenhängen ist anerkannt, dass sich die Massenmedien bei der Verbreitung von Meinungsäußerungen Dritter auf die Grundrechte des Art. 5 Abs. 1 Satz 2 GG berufen können. Dies gilt etwa in Bezug auf die Veröffentlichung von Leserbriefen in einem Presseorgan40, auf die Veröffentlichung fremder Äußerungen in einem Interview41 und auf die Veröffentlichung von Auszügen in Pressespiegeln42. 32 Ebenso wenig ist für die Eröffnung des Schutzes nach Art. 5 Abs. 1 Satz 2 GG maßgebend, ob Anbieter sozialer Netzwerke zu den auf ihrer Plattform präsentierten (fremden) Inhalten der Nutzer einen (kognitiven und voluntativen) Bezug haben43. Allerdings wird in der Literatur teilweise die Auffassung vertreten, dass ein algorithmengesteuerter, automatenhafter Selektionsvorgang nicht dem Schutz der Kommunikationsgrundrechte zuzuordnen sei44. Die dem Algorithmus zugrundeliegenden Kriterien seien rein technischer Natur und wiesen typischerweise keinen Bezug zum konkreten Inhalt der dargestellten Meinungen Dritter auf. Ein solcher Bezug sei jedoch für die Eröffnung des Schutzes nach Art. 5 Abs. 1 GG erforderlich45. Diese Sichtweise ist dem tradierten Muster der Ausübung der grundrechtlich geschützten Meinungsfreiheit (Art. 5 Abs. 1 Satz 1 GG) und der Medienfreiheiten (Art. 5 Abs. 1 Satz 2 GG) ver39 Am Beispiel der Pressefreiheit BVerfG v. 12.12.2000 – 1 BvR 1762/95, 1 BvR 1787/95, BVerfGE 102, 347 (359); st. Rspr., vgl. nur BVerfG v. 25.6.2009 – 1 BvR 134/03, NJW-RR 2010, 470 (471 Rz. 59). 40 BVerfG v. 25.6.2009 – 1 BvR 134/03, NJW-RR 2010, 470 (471 Rz. 59); BGH v. 27.5.1986 – VI ZR 169/85, VersR 1986, 1075. 41 BGH v. 17.11.2009 – VI ZR 226/08, NJW 2010, 760 (761 Rz. 11 ff.). 42 BVerfG v. 25.6.2009 – 1 BvR 134/03, NJW-RR 2010, 470 (471 Rz. 59). 43 Gersdorf, MMR 2017, 439 (444). 44 Pille, Meinungsmacht sozialer Netzwerke, S. 178 f.; Spindler, JZ 2014, 987. 45 Pille, Meinungsmacht sozialer Netzwerke, S. 178 f., der gleichwohl im Ergebnis soziale Netzwerke dem Schutz des Art. 5 Abs. 1 GG unterwirft (vgl. S. 180 f.).
16
Internetregulierung als grundrechtlicher Herkulesakt
haftet. Die Meinungsfreiheit ist klassischerweise durch die „subjektive Einstellung des sich Äußernden zum Gegenstand der Äußerung gekennzeichnet“46. Das bedeutet aber nicht, dass der Einzelne des Schutzes nach Art. 5 Abs. 1 Satz 1 GG verlustig geht, wenn er sich zur Verbreitung von Meinungen intelligenter Software47 bedient und auf diese Weise die Meinungskundgabe automatisiert. Die Verbreitung etwa von „Social Bots“ genießt wenigstens dann den Schutz des Art. 5 Abs. 1 Satz 1 GG, wenn die automatisierte Meinungskundgabe einem Menschen zuzurechnen ist und über die Person der sich äußernden Person nicht getäuscht wird (vgl. hierzu sogleich). Auch Medien setzen, wie dargelegt, insbesondere zur Verbreitung personalisierter Inhalte auf Algorithmen. Ebenso liegen die Dinge bei sozialen Netzwerken. Anbieter sozialer Netz- 33 werke nehmen inhaltsbezogene Selektions- und Steuerungsfunktionen wahr und wirken damit in dem von Art. 5 Abs. 1 GG geschützten Prozess freier individueller und öffentlicher Meinungsbildung mit, dessentwillen sie am Schutz des Art. 5 Abs. 1 Satz 2 GG teilnehmen. Der Inhaltsbezug ihrer Tätigkeit ist manifest: Bereits durch Festlegung von „Gemeinschaftsstandards“ (Verbot sexuell anzüglicher Inhalte, Nacktheit etc.)48 filtern und steuern die Anbieter den Kommunikationsprozess in ihren sozialen Netzwerken. Auch die Entscheidung von Facebook, in dem sog. Newsfeed lokale Nachrichten und Inhalte vorrangig zu berücksichtigen, ist inhaltsbezogen49. Das Gleiche gilt, wenn – wie versuchsweise praktiziert – Facebook Inhalte Dritter (Medien, Verbände, Unternehmen etc.) nur dann in den Newsfeed der Nutzer gelangen lässt, wenn Werbung platziert werden darf, und anderenfalls die Inhalte im „Explore Feed“ landen50. Vor allem aber bestimmen Betreiber sozialer Netzwerke durch den Al- 34 gorithmus den für den einzelnen Nutzer sichtbaren Newsfeed und beeinflussen auf diese Weise den durch Art. 5 Abs. 1 GG geschützten Kommunikationsprozess51. Angesichts der schier unermesslichen Infor-
46 So in Bezug auf die Abgrenzung von Meinungsäußerung und Tatsachenverbreitung BVerfG v. 10.10.1995 – 1 BvR 1476/91, 1 BvR 1980/91, 1 BvR 102/92, 1 BvR 221/92, BVerfGE 93, 266 (289). 47 Vgl. hierzu Müller-Hengstenberg/Kirn, MMR 2014, 225 ff. und 307 ff. 48 So etwa die Gemeinschaftsstandards von Facebook, abrufbar unter https:// de-de.facebook.com/communitystandards. 49 Vgl. https://newsroom.fb.com/news/2018/01/news-feed-fyi-local-news/. 50 Zu dem nunmehr beendeten Versuch von Facebook vgl. https://allfacebook. de/news/newsfeed-versionen. 51 Gersdorf, MMR 2017, 439 (443); vgl. auch Hoffmann-Riem, AöR Bd. 142 (2017), 1 (11 f.); Schulz/Dankert, Die Macht der Informationsintermediäre. Erscheinungsformen, Strukturen und Regulierungsoptionen, S. 24.
17
Hubertus Gersdorf
mationsfülle (Postings, Uploads etc.) in sozialen Netzwerken bedarf es einer Auswahl der für den Einzelnen relevanten Inhalte. Zur Erledigung der notwendigen Selektions- und Sortieraufgaben bedient sich der Netzwerkanbieter Algorithmen. Die Algorithmen dienen der Ermittlung der Präferenzen des einzelnen Nutzers und seiner Bindung an den Anbieter des sozialen Netzwerkes. Sie steuern den individualisierten, auf die (tatsächlichen oder vermeintlichen) kommunikativen Bedürfnisse des einzelnen Nutzers zugeschnittenen Newsfeed. Kehrseite jeder Form individualisierter Angebote – sei es durch Anbieter sozialer Netzwerke, sei es durch klassische Medienanbieter – ist die (themenbezogene) Verengung der Informationsbasis für den Einzelnen, die den öffentlichen Diskurs verkürzt („Filterblasen“, „Echokammern“52). Auch hierin manifestiert sich die – für Art. 5 Abs. 1 Satz 2 GG maßgebliche – Relevanz einer algorithmengesteuerten Selektion von Inhalten für den Prozess individueller und öffentlicher Meinungsbildung. Die aktuelle Diskussion über den Einfluss von Facebook auf die US-Präsidentenwahl im Jahr 2016 und auf die Abstimmung im Vereinigten Königreich über den Austritt aus der Europäischen Union („Brexit“) zeigt die Relevanz einer algorithmengesteuerten Meinungs- und Willensbildung in sozialen Netzwerken. 35 Die sozialen Netzwerke steuern durch Algorithmen den von dem einzelnen Nutzer wahrnehmbaren Newsfeed und beeinflussen damit den von Art. 5 Abs. 1 GG geschützten Kommunikationsprozess. Sie liegen gleichsam „zwischen“ den klassischen Medien und den strikt inhaltsneutralen Host-Providern („fünfte Gewalt“53). Sie sind keine (klassischen) Medienanbieter, weil sie keine eigenen Inhalte nach publizistischen Gesichtspunkten auswählen und bereitstellen. Sie sind aber auch keine schlicht inhaltsneutralen Plattformbetreiber, weil sie insbesondere durch Ausgestaltung der Algorithmen Einfluss auf den Kommunikationsprozess gewinnen. Kraft dieses Inhaltsbezugs sind sie durch die Medienfreiheiten des Art. 5 Abs. 1 Satz 2 GG geschützt54.
52 Zu diesen Effekten des algorithmengesteuerten Newsfeeds in sozialen Netzwerken vgl. nur Schulz/Dankert, Die Macht der Informationsintermediäre. Erscheinungsformen, Strukturen und Regulierungsoptionen, S. 29; Zweig/ Deussen/Kraft, Algorithmen und Meinungsbildung – Eine grundlegende Einführung, Informatik Spektrum, 2017, S. 318. 53 Gersdorf, BayVBl. 2015, 625 f. 54 Gersdorf, MMR 2017, 439 (444 f.); vgl. auch BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 m. Anm. Kriegesmann = ITRB 2016, 123 = GRUR 2016, 855 (857 Rz. 24: Recht des Providers auf „Meinungs- und Medienfreiheit“ des Art. 5 GG und Art. 10 EMRK); Pille, Meinungsmacht sozialer Netzwerke, S. 177, insbesondere S. 180 f.
18
Internetregulierung als grundrechtlicher Herkulesakt
3. Social Bots als Meinungsäußerung Unter Social Bots versteht man spezielle Software, die nach einem festge- 36 legten, vom Nutzer gesteuerten Algorithmus funktioniert und der Kommunikation im Internet – insbesondere in sozialen Netzwerken – dient. Social Bots verfassen Beiträge, kommentieren, liken oder teilen Inhalte im Internet. Social Bots ermöglichen die Verbreitung von Meinungen (Aktion und Reaktion) durch Verwendung entsprechend programmierter Software. Ein Bot kann so gesteuert werden, dass er auf bestimmte Aussagen mit programmierten Inhalten reagiert55. Social Bots können von einer (realen digitalen) Person zu Zwecken der 37 authentischen, pseudonymen bzw. anonymen Kommunikation eingesetzt werden. In den sozialen Netzwerken werden Social Bots hingegen regelmäßig mit einem anderen Ziel verwendet. Es werden virtuelle Profile mit fiktiven Personen, Eigenschaften und Fotos gebildet, die sich von realen Profilen mit tatsächlichen Personen auf den ersten Blick nicht unterscheiden. In diesem Fall täuschen Social Bots über die Eigenschaft „Mensch“ und über die Eigenschaft des sich Äußernden56. Die Kommunikation stammt nicht von einer realen, sondern von einer virtuellen Person. Für die Frage, ob Social Bots dem Schutz des Art. 5 Abs. 1 Satz 1 GG 38 unterliegen, ist zu differenzieren. Sofern eine automatenhafte Meinungsäußerung von einer realen Person stammt und dies für den Nutzer transparent ist, d. h. über die Person des sich Äußernden nicht getäuscht wird, sind Social Bots durch das Grundrecht der Meinungsfreiheit geschützt. Der Einzelne kann sich auf Art. 5 Abs. 1 Satz 1 GG auch dann berufen, wenn er sich zur Verbreitung von Meinungen (auch in pseudonymer bzw. anonymer Form) intelligenter Software bedient und auf diese Weise die Meinungskundgabe automatisiert57. Anders zu bewerten sind Social Bots, die als massenhafter Spam verbrei- 39 tet und zum Zweck der Behinderung freier Kommunikation eingesetzt werden. Solche Kommunikationsformen behindern den Prozess freier öffentlicher Kommunikation und genießen deshalb nicht den Schutz des Art. 5 Abs. 1 GG58.
55 Vgl. Milker, ZUM 2017, 216 (216 f.); Hostacna, Ad Legendum 2018, 1 (1 f.). 56 Milker, ZUM 2017, 216 (218); vgl. auch Hostacna, Ad Legendum 2018, 1 (4). 57 Vgl. Milker, ZUM 2017, 216 (217 f.); vgl. auch Hostacna, Ad Legendum 2018, 1 (4). 58 Vgl. Milker, ZUM 2017, 216 (219), der Spam-Bots nicht bereits im Rahmen des grundrechtlichen Schutzbereichs, sondern auf der Rechtfertigungsebene für unzulässig erachtet.
19
Hubertus Gersdorf
40 Ob Social Bots durch Art. 5 Abs. 1 GG geschützt sind, wenn sie über die Eigenschaft „Mensch“ und die Identität eines Menschen täuschen, ist zweifelhaft. Nach ständiger Rechtsprechung des Bundesverfassungsgerichts unterfällt die Verbreitung unwahrer Tatsachen (z. B. Holocaustleugnung) nicht dem Schutz des Grundrechts der Meinungsfreiheit, weil die Verbreitung von Unwahrheiten nicht dem öffentlichen Kommunikationsprozess dient. Entsprechendes könnte gelten, wenn Social Bots die Öffentlichkeit dadurch in die Irre führen, dass sich hinter einer bestimmten Meinungsäußerung keine reale Person verbirgt59. Ungeachtet dessen dürfte in jedem Fall feststehen, dass ein gesetzliches Verbot der Verbreitung und Verwendung solcher Social Bots durch die Schranken des Grundrechts der Meinungsfreiheit gedeckt wäre60. 41 Da der Einsatz von Social Bots die öffentliche Meinungsbildung (erheblich) beeinflussen kann, stellt sich die Frage nach möglichen Gegenmaßnahmen61. Zunächst einmal ist zu berücksichtigen, dass die Betreiber sozialer Netzwerke ein vitales Interesse haben, dass Social Bots nicht zur Manipulation des öffentlichen Diskurses eingesetzt werden. Deshalb setzen die Betreiber sozialer Netzwerke auf leistungsfähige Bot-Erkennungssoftware. 42 Parallel zur Impressumspflicht für Medien könnte man an eine gesetzliche Klarnamenspflicht denken62. Allerdings erscheint dies wegen des Rechts auf Anonymität bei der Kommunikation problematisch. Als Alternative bleibt eine gesetzliche Kennzeichnungspflicht für den Bot-Einsatz. Sie dient der Transparenz von Meinungsäußerungen im Rahmen öffentlicher Kommunikation. 4. Ausblick 43 Algorithmen sind schon heute ein wesentlicher Faktor im Prozess individueller und öffentlicher Meinungsbildung. Ihre Bedeutung wird im Zuge der (Fort-)Entwicklung intelligenter Software noch wachsen. All dies bereitet keine unüberwindbaren Probleme, solange die für die demokratische Meinungs- und Willensbildung relevanten intelligenten Systeme auf Menschen rückführbar sind und von ihnen verantwortet werden. Was im Allgemeinen gilt, gilt in Sonderheit für den grundrechtlich gewährleisteten Prozess privater und öffentlicher Kommunikation, der im Interesse des Einzelnen und des demokratischen Systems klare Verantwortungsregeln verlangt. 59 60 61 62
20
Hostacna, Ad Legendum 2018, 1 (4). Milker, ZUM 2017, 216 (218 ff.). Vgl. hierzu Milker, ZUM 2017, 216 (221). Vgl. Milker, ZUM 2017, 216 (221).
Lizenzierung indirekter Nutzung – Rechtliche Grenzen des Partizipationsinteresses – Bericht von der DGRI Jahrestagung Jürgen Beckers* I. Einleitung II. Indirekte Nutzung im SAPÖkosystem 1. Relevanz des Themas für SAPPartner und SAP-Endkunden 2. Die Vertragsbeziehungen der Beteiligten des SAP-Ökosystems 3. Die Lizenzmetriken bei indirekter Nutzung 4. Arten und Bedeutung der UserTypen
5. Bedeutung von SAP NetWeaver 6. Erforderlichkeit von SAP NetWeaver 7. Lizenzmetriken der SAP bei indirekter Nutzung 8. Das Problem der SAP-Partner III. Rechtspolitische Aspekte der indirekten Nutzung IV. Fazit und Ausblick
I. Einleitung Das Thema „Lizenzierung indirekter Nutzung: Rechtliche Grenzen des 1 Partizipationsinteresses“ war Gegenstand von zwei Vorträgen auf der DGRI-Jahrestagung. Zunächst referierte der Autor und erläuterte die Relevanz des Themas im SAP-Ökosystem. Sodann stellte Prof. Dr. Axel Metzger1 eine rechtliche Analyse zu den mit der Lizenzierung indirekter Nutzung von ERP-Software verbundenen Rechtsfragen vor2. Der vorliegende Beitrag ist eine schriftliche Zusammenfassung des Vortrags, den der Autor auf der DGRI-Jahrestagung in Köln gehalten hat, wobei der Beitrag auch auf die am 10.4.2018 von der SAP veröffentlichte neue Lizenzpolitik zum „ERP Pricing for the Digital Age“3 eingeht.
* Rechtsanwalt, Darmstadt. 1 Professor für Bürgerliches Recht und Immaterialgüterrecht an der Juristischen Fakultät der Humboldt-Universität zu Berlin. 2 Vgl. dazu auch Metzger/Hoppen, Zur Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen bei Verwendung von Drittanbietersoftware, CR 2017, 625-639; in diesem Band ebenfalls abgedruckt. 3 Vgl. https://news.sap.com/wp-content/blogs.dir/1/files/Pricing_for_Digital_Age_ Overview.pdf.
21
Jürgen Beckers
II. Indirekte Nutzung im SAP-Ökosystem 1. Relevanz des Themas für SAP-Partner und SAP-Endkunden 2 Am 19.7.2017 veranstaltete die International Association for SAP Partners e. V. (IA4SP) eine Tagung zum Thema „Indirekte Nutzung“ in Darmstadt. Der IA4SP ist ein Verein, der Unternehmen, die SAP-Partnerstatus oder ein Geschäftsmodell haben, das auf den SAP-Markt ausgerichtet ist, eine Plattform zum wechselseitigen Informationsaustausch und zur Kommunikation mit SAP bietet4. An der Veranstaltung am 19.7.2017 nahmen sowohl Vertreter von Unternehmen teil, die SAP einsetzen (Endkunden), als auch Mitarbeiter von Unternehmen, die SAP-Partner sind. Darunter waren auch viele Partnerunternehmen, die eigene Softwarelösungen anbieten, die über Schnittstellen mit der SAP-Software zusammenwirken, was nach der Lizenzterminologie von SAP eine „indirekte Nutzung“ darstellt. Eine schriftliche Befragung des IA4SP unter den am 19.7.2017 teilnehmenden Vertretern von SAP-Partnerunternehmen ergab, dass 59 % der befragten Unternehmen ihr Lösungsgeschäft durch die zum Zeitpunkt der Veranstaltung gültige Lizenzpolitik der SAP5 zur Lizenzierung von indirekter Nutzung als „erheblich“ bedroht ansahen. Weitere 27 % der Befragten waren der Meinung, dass ihr Lösungsgeschäft „sehr stark“ betroffen war und nur 14 % der Befragten gaben an, sie fühlten sich nicht betroffen. Bei den im Rahmen der Veranstaltung am 19.7.2017 befragten Endkunden sah das Bild ähnlich aus. 32 % der befragten Vertreter von Endkundenunternehmen waren der Meinung, dass die zum Zeitpunkt der Befragung gültige Lizenzpolitik von SAP zur indirekten Nutzung ein „er4 Vgl. https://www.ia4sp.org/de/. 5 Die SAP hat mit Wirkung zum 10.4.2018 eine neue Lizenzpolitik zum Thema indirekte Nutzung vorgestellt („ERP Pricing for the Digital Age), vgl. https:// news.sap.com/wp-content/blogs.dir/1/files/Pricing_for_Digital_Age_Overview. pdf. Ob und inwieweit diese neue Lizenzpolitik zu einer Kostenverringerung und damit Verbesserung der Situation für die SAP-Partner und SAP Endkunden führt, kann zum Zeitpunkt der Erstellung dieses Beitrags noch nicht beurteilt werden. Es fehlen derzeit noch die Beispielsberechnungen der Use Cases nach dem neuen Lizenzmodell. Festzuhalten bleibt allerdings, dass auch nach dem neuen Lizenzmodell indirekte Nutzung weiterhin lizenzpflichtig bleibt. Geändert hat sich nur die Lizenzmetrik, nach der indirekte Nutzungshandlungen zu lizenzieren sind.
22
Lizenzierung indirekter Nutzung
hebliches“ Risiko für Mehrkosten für sie berge. 27 % sahen ein „sehr starkes“ Risiko für Mehrkosten und 14 % sahen für das Lösungsgeschäft von SAP-Partnern keine Zukunft mehr. 2. Die Vertragsbeziehungen der Beteiligten des SAP-Ökosystems Eine Besonderheit des SAP-Ökosystems ist die Art und Weise, wie die 3 Vertragsbeziehungen der Beteiligten des SAP-Ökosystems im Zusammenhang mit der Lizenzierung von indirekter Nutzung organisiert sind (vgl. zur Veranschaulichung auch nachfolgendes Schaubild).
Der SAP-Partner muss aufgrund seiner Partnerverträge mit SAP Gebüh- 4 ren an SAP für den Erwerb des Status als offizieller SAP-Partner zahlen. Und auch wenn er seine Softwarelösung als mit der SAP-Software kompatible Lösung durch SAP zertifizieren lassen möchte, muss er dafür neben eigenen Aufwänden, die mit einer solchen Zertifizierung verbunden sind, auch Gebühren an SAP zahlen. Wenn ein SAP-Partner jedoch seine Softwarelösungen an Endkunden ver- 5 treibt, muss er dafür keine Lizenzgebühren an SAP abführen. Das gilt auch dann, wenn seine Softwarelösung nur in der SAP NetWeaver RuntimeUmgebung ablauffähig ist. Es ist vielmehr Aufgabe des Endkunden, die SAP NetWeaver Runtime-Umgebung direkt bei SAP zu lizenzieren und für den Einsatz der Partnerlösung beizustellen, wenn die Partnerlösung die SAP NetWeaver Runtime-Umgebung zur Ablauffähigkeit benötigt.
23
Jürgen Beckers
6 Viele Partnerlösungen sind allerdings Eigenentwicklungen der Partnerunternehmen, die selbständig ablauffähig sind und die die SAP NetWeaver Runtime-Umgebung nicht benötigen. Sie kommunizieren mit der ERPSoftware von SAP ausschließlich über eine der vielen möglichen Schnittstellen, die SAP veröffentlicht hat. 7 Vertreibt ein Partner seine Softwarelösung an einen Endkunden und kommuniziert die Softwarelösung des Partners mit der ERP-Software von SAP, so kann er dies also ohne weitere Zustimmungs- und Lizenzgebührenpflicht tun. Aber der Endkunde, der eine solche Softwarelösung vom Partner kauft, darf diese nur dann mit der SAP-Software verbinden und über Schnittstellen kommunizieren lassen, wenn er für die Integration der Partnerlösung in die SAP-Software-Umgebung die nach den einschlägigen Lizenzbedingungen und -metriken der SAP maßgeblichen Lizenzund Softwarepflegegebühren an SAP zahlt. SAP qualifiziert die Kommunikation der Partnerlösung mit der SAP-Software als lizenzpflichtige „indirekte Nutzung“, für die der Endkunde Schuldner der maßgeblichen Lizenz- und Softwarepflegegebühren ist. Auf diese Art und Weise partizipiert SAP an jeder verkauften Partnerlösung und kontrolliert gleichzeitig die Höhe der jeweiligen Lizenz- und Pflegegebühren, die der Endkunde für die indirekte Nutzung einer Partnerlösung bezahlen muss. 8 Das Problem dieser rechtlichen Konstruktion ist allerdings, dass der SAP-Partner keinerlei Einflussmöglichkeiten darauf hat, ob und in welcher Höhe SAP vom Endkunden Lizenz- und Softwarepflegegebühren für die durch seine Partnerlösung ausgelöste indirekte Nutzung der SAPERP-Software verlangt. Seine Partnerverträge mit SAP sehen weder das Recht noch die Pflicht vor, Lizenzgebühren vom Endkunden für die indirekte Nutzung der SAP-Software zu erheben. Durch diese rechtliche Konstellation hat sich die SAP die direkte und ausschließliche Kontrolle vorbehalten, ob und in welche Höhe sie Lizenz- und Pflegegebühren vom jeweiligen Endkunden für die indirekte Nutzung erhebt. 9 Ferner ergibt sich aus dieser rechtlichen Konstellation eine weitere Problematik. Da viele Endkunden die ERP-Software von SAP schon viele Jahre oder sogar Jahrzehnte einsetzen, gibt es bei jedem Endkunden eine längere Vertragshistorie mit unterschiedlichsten Versionsständen von Vertragsbedingungen, die im konkreten Einzelfall gelten. Vielfach haben SAP und der Endkunde auch von den Standardbedingungen der SAP abweichende, individuelle Vereinbarungen getroffen, sodass es ohne eine genaue vertragliche Analyse der beim Endkunden bestehenden SAP-Vertragssituation für den Partner unmöglich ist, eine exakte Vorhersage über die Höhe der auf den Endkunden zukommenden Zusatzkosten für die indirekte Nutzung zu machen. 24
Lizenzierung indirekter Nutzung
3. Die Lizenzmetriken bei indirekter Nutzung Die Lizenzmetriken der SAP zur indirekten Nutzung sind seit vielen Jah- 10 ren im Fluss und unterliegen kontinuierlichen Änderungen. Seit 2014 hat die SAP systematisch begonnen, das Thema indirekte Nutzung stärker in den Fokus ihrer Lizenzpolitik zu nehmen und neue Regeln geschaffen, wie der Endkunde eine indirekte Nutzung der SAP-Software lizenzieren muss. Die zum Zeitpunkt der Erstellung dieses Artikels jüngste Änderung zur SAP-Lizenzpolitik für indirekte Nutzung stammt vom 10.4.2018 und wurde unter dem Titel „ERP Pricing for the Digital Age“ von der SAP veröffentlicht6. Die relevanten Rechtsfragen im Zusammenhang mit der indirekten Nut- 11 zung zeigt das folgende Schaubild:
Bis zum 10.4.2018 wurde indirekte Nutzung der SAP-Software in erster 12 Linie nach Usern lizenziert. Zu diesem Zweck wurde in einem technischen Messverfahren ermittelt, welche User über Schnittstellen zwischen der SAP-Software und der Partnerlösung auf die ERP-Software zugegriffen haben. Ein solcher Zugriff kann in einer lesenden, schreibenden oder modifizierenden Form erfolgen. Bei einem lesenden Zugriff wird durch die Partnerlösung eine Datenabfrage an das ERP-System gestartet und die entsprechenden Daten werden dann über die Partnerlösung dem User angezeigt. 6 Vgl. https://news.sap.com/wp-content/blogs.dir/1/files/Pricing_for_Digital_Age_ Overview.pdf.
25
Jürgen Beckers
Bei einem schreibenden Zugriff werden Daten über die Partnerlösung erfasst (z. B. eine Bestellung, die über eine Vertriebsapplikation erfasst wird) und dann im ERP-System abgelegt. Bei einem modifizierenden Zugriff werden über die Partnerlösung zunächst Daten aus dem ERP-System abgerufen, in der Partnerlösung angezeigt und dann über die Partnerlösung geändert und wieder zurück in das ERP-System gesendet (Bsp.: Prüfung und Modifikation einer Bestellmenge oder Prüfung und Änderung einer Lieferanschrift). 13 Um juristisch beurteilen zu können, welche urheberrechtlich relevanten Nutzungshandlungen bei einer indirekten Nutzung stattfinden, muss man die Systemarchitektur und die Art der Interaktion von ERP-System und Partnerapplikation technisch genau analysieren. Prof. Dr. Axel Metzger und Dr. Peter Hoppen haben in ihrem Aufsatz in der CR 20177 genau beschrieben, welche Nutzungshandlungen bei indirekter Nutzung von ERP-Software festzustellen sind und wie sich die Nutzungshandlungen kategorisieren lassen. Auf diese Ausführung sei an dieser Stelle verwiesen. 14 Im Hinblick auf die von SAP angewendeten userbezogenen Lizenzmetriken muss man zur Ermittlung der maßgeblichen Lizenzmetriken und der dafür maßgeblichen Lizenz- und Softwarepflegegebühren folgende Punkte analysieren: (1) „Nutzt“ der Endkunde mit dem Einsatz der Partnerlösung die SAPSoftware? (2) Benötigt die Partnerlösung die SAP NetWeaver Runtime-Umgebung? (3) Welcher Usertyp ist nach den für den Endkunden maßgeblichen Lizenzbedingungen und Preiskonditionen maßgeblich? 4. Arten und Bedeutung der User-Typen 15 Die für die indirekte Nutzung der SAP-Software vom Endkunden zu lizenzierenden User-Typen richten sich nach den Beschreibungen im jeweiligen Endkundenvertrag und ansonsten nach der jeweils gültigen Preis- und Konditionenliste der SAP. Jedem User-Typ sind bestimmte Transaktionsarten zugeordnet. So darf nach der für 2017 gültigen Preisliste ein „Professional User“ mit der SAP-Software operative, Systemverwaltungs- und Management-Rollen ausführen und beinhaltet darü7 Vgl. Metzger/Hoppen, Zur Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen bei Verwendung von Drittanbietersoftware, CR 2017, 625-639; in diesem Band ebenfalls abgedruckt.
26
Lizenzierung indirekter Nutzung
ber hinaus die Rechte zahlreicher anderer User-Typen, wie z. B. die des „Project Users“ oder des „Logistik Users“. Ein „Logistik User“ darf nach der für 2017 gültigen Preisliste z. B. mit der SAP-Software Aufgaben im Transportmanagement, Lagerhaltung, Überwachung und Rückverfolgung sowie im Dokumentenmanagement von OpenText erledigen. Für jeden User-Typen sieht die SAP-Preisliste bestimmte Preise pro User 16 vor, die dann für die Berechnung der Lizenz- und Softwarepflegegebühren zu Grunde zu legen sind. Zur Ermittlung der für die indirekte Nutzung maßgeblichen Lizenzund Softwarepflegegebühren werden im Rahmen des Lizenz-Audits die Transaktionen, die eine Partnerlösung über eine Schnittstelle in der SAP-Software ausgelöst hat, vermessen und analysiert. Danach erfolgt der Vergleich mit den vom Endkunden lizenzierten User-Typen und sofern sich dabei ein Delta herausstellt, muss der Endkunde dieses Delta nachlizenzieren. Die Problematik, die sich im Zusammenhang mit der Ermittlung der 17 für die indirekte Nutzung maßgeblichen Lizenz- und Softwarepflegegebühren ergibt, ist, dass die Zuordnung von Transaktionen zu einem bestimmten User-Typ nicht immer einfach und eindeutig ist. Ferner unterliegen die Definitionen und Berechtigungen für die User-Typen auch immer wieder Änderungen in der SAP-Preisliste. Dadurch sind Konflikte über die Lizenzierungspflicht und die Höhe der maßgeblichen Lizenzund Softwarepflegegebühren vorprogrammiert. Es liegt in der Natur der Sache, dass SAP, Endkunden und Partner die für die indirekte Nutzung maßgeblichen User-Rollen unterschiedlich interpretieren. 5. Bedeutung von SAP NetWeaver SAP NetWeaver ist eine softwaretechnische Plattform, auf der Software- 18 anwendungen laufen. NetWeaver ist die Entwicklungs- und Laufzeitumgebung für die ERP-Applikationen von SAP. Jeder Endkunde, der die ERPSoftware von SAP im Einsatz hat, benötigt deshalb auch eine Lizenz für NetWeaver. Typischerweise wird NetWeaver zusammen mit der ERPSoftware von SAP lizenziert. Über NetWeaver lassen sich Geschäftsprozesse und Datenbanken aus verschiedenen Systemen integrieren. NetWeaver beinhaltet die für den Ablauf und die Integration von Applikationen notwendigen Komponenten (z. B. Funktionsbausteine, Bibliotheken und Schnittstellen).
27
Jürgen Beckers
Grundlage für alle Anwendungen, die auf der NetWeaver-Umgebung ablaufen, ist der „NetWeaver Application Server“. Er unterteilt sich in einen ABAP- und einen Java EE Application Server. 6. Erforderlichkeit von SAP NetWeaver 19 SAP NetWeaver ist immer dann technisch erforderlich, wenn eine Fremdapplikation (z. B. eine Partnerlösung oder eine Eigenentwicklung des Endkunden) zur Integration und zum Ablaufen in der SAP-ERPUmgebung die Entwicklungs- und Laufzeitumgebung von NetWeaver benötigt. Wichtig in diesem Zusammenhang ist jedoch zu wissen, dass es sehr viele Fremdapplikationen (Partnerlösungen, Eigenentwicklungen des Endkunden) gibt, die die NetWeaver-Umgebung nicht benötigen, um ablauffähig zu sein und in die SAP-ERP-Umgebung integriert zu werden. Sie laufen in einer eigenen Umgebung und werden über die von SAP veröffentlichten Schnittstellen in die SAP-ERP-Umgebung integriert. 7. Lizenzmetriken der SAP bei indirekter Nutzung 20 Wie bereits erwähnt, sind die von SAP angewendeten Lizenzmetriken für indirekte Nutzung im Fluss und Gegenstand permanenter Diskussionen in der Presse und in Verbänden. Seit 10.4.2018 hat SAP neue Lizenzmetriken eingeführt, die im Gegensatz zu den bisher eher userbezogenen Metriken transaktionsbezogen sind. Einzelheiten hierzu findet man über den vorstehend bereits erwähnten Link8 und in der Presse. Ob die neuen Lizenzmetriken die Probleme und Konflikte der Vergangenheit tatsächlich für alle Beteiligten zufriedenstellend lösen, wie es vielfach in der Presse behauptet wird, bleibt abzuwarten. Fakt ist, dass auch nach den neuen Lizenzmetriken die indirekte Nutzung weiter gesondert zu lizenzieren ist und damit weiterhin zusätzliche Lizenz- und Softwarepflegekosten für den Endkunden auslöst. Inwieweit die neuen transaktionsabhängigen Lizenzmetriken der SAP die indirekte Nutzung von SAP-ERP und SAP-S/4-HANA preiswerter machen, lässt sich zur Zeit der Abfassung dieses Beitrags noch nicht abschätzen. Dazu müssen die mit dem Thema beschäftigten Verkehrskreise erst einmal ausreichend viele Use Cases durchrechnen. Entsprechende Zahlen hierzu liegen dem Verfasser derzeit noch nicht vor.
8 Vgl. https://news.sap.com/wp-content/blogs.dir/1/files/Pricing_for_Digital_Age_ Overview.pdf.
28
Lizenzierung indirekter Nutzung
Sowohl nach der neuen transaktionsabhängigen Lizenzpolitik als auch 21 nach der bislang geltenden userabhängigen Lizenzpolitik muss man zwei Anwendungsszenarien indirekter Nutzung unterscheiden: (1) Partnerlösungen, die zum Ablauf in der SAP-ERP-Umgebung die NetWeaver-Runtime-Umgebung benötigen und (2) Partnerlösungen, die eigenständig ablaufen und die in der SAP-ERPUmgebung ausschließlich über Schnittstellen integriert werden (z. B. über die Process Integration Schnittstelle). Für Partnerlösungen, die die Ablaufumgebung von NetWeaver benöti- 22 gen, sehen die aktuellen Lizenzbedingungen der SAP vor, dass der Endkunde zur Integration der Partnerlösung in die SAP-ERP- und die SAPS/4-HANA-Umgebung im Regelfall eine sog. „NetWeaver Foundation License for 3rd Party Products“ erwerben muss, wobei es auch hier bestimmte Ausnahmen gibt, die ständig im Fluss sind. Es lohnt sich deshalb, diese Ausnahmen regelmäßig über die Presseerklärung der SAP und der DSAG9 zu verfolgen, um hier nicht am Ende Lizenz- und Softwarepflegegebühren zu zahlen, deren Notwendigkeit durch eine neue Sonderregelung längst überholt ist. Nach den zur Zeit der Erstellung dieses Beitrags gültigen Lizenzbedingungen von SAP kann der Endkunde für den Erwerb einer NetWeaver Foundation License for 3rd Party Products zwischen zwei Lizenzmetriken wählen: Entweder lizenziert er nach Cores oder nach Usern. Partnerlösungen, die nicht auf der NetWeaver-Runtime-Umgebung ablaufen, sind nach den bislang geltenden Lizenzmetriken der SAP überwiegend auf User-Basis zu lizenzieren gewesen. Seit 10.4.2018 besteht für den Endkunden die Möglichkeit, die indirekte Nutzung von SAP-ERP und SAP-S/4-HANA durch die Partnerlösung auch transaktionsabhängig zu lizenzieren10. 8. Das Problem der SAP-Partner Der Umstand, dass die Integration einer Partnerlösung in die SAP-ERP- 23 Umgebung für den Endkunden zusätzliche Lizenz- und Softwarepflegegebühren in Bezug auf die SAP-ERP-Nutzung auslöst, stellt ein echtes Vertriebshindernis für Partnerlösungen dar, wie die vorstehend ausgeführten
9 Deutschsprachige SAP-Anwendergruppe (DSAG) e.V., vgl. https://www.dsag. de/pressreleases. 10 Vgl. https://news.sap.com/wp-content/blogs.dir/1/files/Pricing_for_Digital_Age_ Overview.pdf.
29
Jürgen Beckers
Befragungen zeigen11. Dabei wirkt sich sowohl die Höhe der von SAP geforderten Lizenz- und Softwarepflegegebühren negativ auf den Vertrieb der Partnerlösungen aus, als auch die fehlende Vorhersehbarkeit der im konkreten Einzelfall maßgeblichen Lizenz- und Softwaregebühren12. 24 Die Partner stehen dieser Problematik zum Teil völlig hilflos gegenüber, da sie auf Grund der oben geschilderten vertraglichen Ausgestaltung des SAP-Ökosystems13 und des Kräfteverhältnisses zwischen der SAP und den meist mittelständisch geprägten Partnerunternehmen wenig kaufmännische Möglichkeiten haben, diese Problemsituation für sie zufriedenstellend aufzulösen. Eine juristische Auseinandersetzung mit SAP scheuen viele Partnerunternehmen, weil sie befürchten, dass dies negative Auswirkungen auf ihre Geschäftsbeziehungen mit SAP haben könnte. Damit sitzen viele Partnerunternehmen in der Falle und müssen zum Teil tatenlos zusehen, wie die Lizenzpraxis der SAP zur indirekten Nutzung ihnen das Geschäftsmodell zerstört. III. Rechtspolitische Aspekte der indirekten Nutzung 25 Da die urheberrechtlichen Gesetze keine explizite Regelung zur Lizenzierungspflicht von indirekter Nutzung enthalten, stellt sich im Zeitalter der vernetzten Systeme, insbesondere im Zusammenhang mit dem Internet of Things und Industrie 4.0, die Frage, wie wir Juristen mit dem Thema indirekte Nutzung umgehen wollen. Wo endet der Schutz des Partizipationsinteresses des Softwareherstellers, dessen Software durch eine andere Software indirekt genutzt wird? Wie schützen wir die Interoperabilität von IT-Systemen? Schließlich besteht die Funktion eines Computerprogramms nach dem 10. Erwägungsgrund der Softwarerichtlinie 2009/24/EG gerade darin, „mit den anderen Komponenten eines Computersystems und den Benutzern in Verbindung zu treten und zu operieren.“14 Unterstellt, bei der indirekten Nutzung einer Software finden überhaupt urheberrechtlich zustimmungspflichtige Nutzungshandlungen statt, sind diese Nutzungshandlungen dann nicht als „bestimmungsgemäße Nutzung“ einer ERP-Software im Sinne von Art. 5 der Softwarerichtlinie 2009/24/EG zu qualifizieren und damit mit den Lizenzgebühren für die „direkte“ Nutzung der ERP-Software bereits vollständig abgegolten?
11 12 13 14
30
Vgl. dazu Ausführungen oben in Ziffer II. 1. Vgl. dazu Ausführungen oben in Ziffer II. 2. Vgl. dazu Ausführungen oben in Ziffer II. 2. Vgl. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:111:0 016:0022:DE:PDF.
Lizenzierung indirekter Nutzung
Wenn wir einen freien Wettbewerb der Softwareanbieter schützen wol- 26 len, so müssen wir technische und wirtschaftliche Lock-In-Effekte durch technische oder lizenzrechtliche Konstruktionen vermeiden. Die Investitionen für die Implementierung von ERP-Systemen liegen im hohen sechs- bis siebenstelligen Bereich. Wenn die Anbindung neuer Softwarelösungen zu kostspielig für den Endkunden wird, so entscheidet er sich eher, die Softwarelösung eines Dritten nicht zu kaufen, als die ERP-Software abzulösen. Im Zusammenhang mit dem SAP-Ökosystem ist ferner zu berücksichti- 27 gen, dass die SAP über viele Jahrzehnte Partnerunternehmen ermuntert hat, ergänzende Softwarelösungen für die SAP-ERP-Software anzubieten, weil dadurch die eigene ERP-Software für Kunden attraktiver wurde. Ein großer Teil der Erfolgsgeschichte von SAP beruht auf dem gut funktionierenden SAP-Ökosystem. Je vielfältiger die Softwarelösungen sind, die in einem ERP-Software-Ökosystem angeboten werden, desto attraktiver ist es für Endkunden, sich für die betreffende ERP-Software zu entscheiden. Die Partnerunternehmen, die erhebliche Investitionen in das SAP-Ökosystem gesteckt haben, um attraktive Softwarelösungen für ERP-Endkunden zu entwickeln und ihr Geschäftsmodell an den Anforderungen im SAP-Ökosystem auszurichten, verdienen deshalb einen angemessenen Investitionsschutz. Wie ist dieser Investitionsschutz mit dem Partizipationsinteresse der SAP, moderne, offene ERP-Systeme zu entwickeln, in Einklang zu bringen? Es gibt also eine Vielzahl von rechtspolitischen Aspekten zu berücksichtigen, wenn wir uns mit den lizenzrechtlichen Aspekten der indirekten Nutzung beschäftigen. IV. Fazit und Ausblick Sofern die zum 10.4.2018 von der SAP veröffentlichte Lizenzpolitik „ERP 28 Pricing for the Digital Age“15 keine deutliche Kostensenkung der Lizenzierung von indirekter Nutzung bringt, was noch durch entsprechende Use Cases und Beispielsrechnungen zu beweisen ist, ist davon auszugehen, dass der Konflikt zwischen SAP einerseits und den Endkunden und den Partnern andererseits weiter eskaliert und auf eine juristische Auseinandersetzung hinauslaufen wird. Die dabei aufzuarbeitenden juristischen Fragen sind insbesondere Folgende:
15 Vgl. https://news.sap.com/wp-content/blogs.dir/1/files/Pricing_for_Digital_Age_ Overview.pdf.
31
Jürgen Beckers
(1) Werden bei indirekter Nutzung überhaupt urheberrechtlich zustimmungspflichtige Nutzungshandlungen vom Endkunden vorgenommen? (2) Wenn ja, sind diese Nutzungshandlungen des Endkunden nicht als bestimmungsgemäße Nutzung der ERP-Software durch den Endkunden im Sinne von Art. 5 der Softwarerichtlinie 2009/24/EG zu qualifizieren? (3) Sind von der urheberrechtlichen Situation abweichende vertragliche Vereinbarungen in AGB, Individualverträgen oder Preis- und Konditionenlisten wirksam? (4) Welche Ansprüche stehen dem Endkunden und dem Partner zu, um sich gegen unberechtigte Ansprüche des ERP-Softwareherstellers auf Zahlung von Lizenz- und Softwarepflegegebühren für indirekte Nutzung zu wehren? Wie kann der Endkunde vermeiden, dass der Softwarehersteller die Softwarepflege kündigt, um seiner Forderung nach Zahlung der Lizenz- und Softwarepflegegebühren Nachdruck zu verleihen? (5) Welche rechtlichen Ansprüche können Partnerunternehmen geltend machen, um den Verlust von Geschäften auf Grund der vom ERPSoftwarehersteller beim Endkunden geforderten Lizenz- und Softwarepflegegebühren zu vermeiden? 29 Erste Ansätze zu diesen Fragestellungen finden sich in dem bereits erwähnten Aufsatz von Metzger/Hoppen16. Die dortigen Ausführungen müssen jedoch nochmals vor dem Hintergrund des vertraglichen Beziehungsgeflechts im SAP-Ökosystem analysiert werden. Dabei könnte sich die eine oder andere Neubewertung zu Gunsten der Endkunden und Partner ergeben. So berücksichtigt der Aufsatz z. B. nicht, dass der Endkunde, der die SAP NetWeaver Runtime-Umgebung nutzt, diese bereits für den Einsatz der SAP-ERP-Software erworben hat und nur deshalb zusätzliche Lizenzgebühren für den Erwerb einer „NetWeaver Foundation License for 3rd Party Products“ bezahlen muss, weil die von ihm gekaufte Partnerlösung in der Runtime-Umgebung von NetWeaver abläuft. Die „NetWeaver Foundation License for 3rd Party Products“ ist kein neues Stück Software, sondern nur eine Lizenz, die dem Endkunden das Recht einräumt, die NetWeaver Runtime-Umgebung nicht nur für SAP-Applikationen zu nutzen, sondern auch für Fremdapplikationen.
16 Vgl. Metzger/Hoppen, Zur Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen bei Verwendung von Drittanbietersoftware, CR 2017, 625-639; in diesem Band ebenfalls abgedruckt.
32
Lizenzierung indirekter Nutzung
Unterstellt, die nach einer kaufmännischen Selbstregulierung ringenden 30 Verkehrskreise wollen die sich abzeichnende juristische Auseinandersetzung zum Thema indirekte Nutzung vermeiden, dann setzt dies Folgendes voraus: (1) Offener Dialog aller Betroffenen im SAP-Ökosystem mit ernsthafter Lösungsabsicht (2) Berücksichtigung der Markteffekte im Primär- und Sekundärmarkt (3) Vermeidung von Marktabschottungen und Lock-In-Effekten (4) Ausbalancierung der Interessen: –
Partizipationsinteresse./. Interoperabilitätsschutz
–
Partizipationsinteresse./. Vertrauens- und Investitionsschutz der Partnerunternehmen
–
Bildung von Fallgruppen und Entscheidungskriterien
–
Entwicklung von Mehrwertstrategien für alle beteiligten Marktteilnehmer
33
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts Louisa Specht* I. Einleitung II. Auslegung der Willenserklärungen (These 1) III. Regulatorischer Handlungsbedarf (These 2) IV. Erfordernis eines Datenschuldrechts (These 3.1) 1. Unterscheidung von primärem und sekundärem Datenmarkt 2. Konkrete Inhalte eines Datenschuldrechts für den primären Datenmarkt a) Anwendung von Abstraktionsund Trennungsprinzip b) Typologie c) Problematik des Koppelungsverbotes d) Rechtsnatur der Einwilligung und Erklärung durch Minderjährige e) Stellvertretungsrecht f) Leistung durch einen Dritten, § 267 BGB g) Verbraucherschutzrecht, §§ 312 ff. BGB h) Verhältnis von Schadensersatzansprüchen zu Ansprüchen nach Art. 82 DSGVO i) Auswirkungen anfänglicher Unwirksamkeit der Einwilligung auf das Vertragsverhältnis
j) Widerruflichkeit der Einwilligung und Folgen für das Vertragsverhältnis k) Durchsetzbarkeit des Anspruchs auf Erklärung der Einwilligung aa) Option 1: Fehlende Klagbarkeit der Einwilligung bb) Option 2: Vollstreckungslösung cc) Option 3: Materiellrechtliche Lösung l) Zurückbehaltungsrecht, § 320 BGB m) Mängelgewährleistungsrechte n) Weitere erforderliche Regelungen 3. Konkrete Inhalte eines Datenschuldrechts für den sekundären Datenmarkt a) Typologie b) Nichtvorliegen der Einwilligung c) Klagbarkeit der Leistung d) Mängelgewährleistung im Übrigen e) Kosten für Datenschutzkonformität f) Pflichten bei Beendigung eines zeitlich begrenzten Datenüberlassungsvertrags
* Prof. Dr. Louisa Specht, Rheinische Friedrich-Wilhelms-Universität Bonn; Inhaberin des Lehrstuhls für Bürgerliches Recht, Informations- und Datenrecht sowie Direktorin des Instituts für Handels- und Wirtschaftsrecht.
35
Louisa Specht g) Weiterer Regelungsbedarf im sekundären Datenmarkt 4. Bereicherungsrechtlicher Zuweisungsgehalt personenbezogener Daten
V. Modifikations-/bzw. Spezifizierungsbedarf des Datenschutzrechts (These 3.2) VI. Zusammenfassung und Ausblick
I. Einleitung 1 Zunehmend wird in der akademischen Literatur, aber auch in Politik und Wirtschaft über den rechtlichen Umgang mit Daten diskutiert. Dabei stellt sich zunächst die Frage nach möglichen eigentumsähnlich ausgestalteten Ausschließlichkeitsrechten an Daten. Ausschließlichkeitsrechte aber können in einer freiheitlich angelegten Rechtsordnung stets nur die Ausnahme sein. Ausschließlichkeit ist, um bildlich zu sprechen, eine Insel von Exklusivität in einem Meer von Freiheit1. Es bedarf daher stets eines rechtlichen oder ökonomischen Problems, das zu lösen die Ausgestaltung von Ausschließlichkeitsrechten erfordert. Im Bereich der unkörperlichen Güter ist dies in der Regel ein Kopierproblem. Das Urheberrecht etwa beruht u. a. auf dem Gedanken, dass sich Werkschaffen nur dann lohnen kann, wenn nicht jedermann kostenfrei das geschaffene immaterielle Werk kopieren und daraus einen Gewinn schöpfen kann. Ein solches Kopierproblem liegt aber bei Daten zumindest derzeit nicht vor, weshalb ein Ausschließlichkeitsrecht wohl primär zur Ausgestaltung klarer Spielregeln auf den Datenmärkten beitragen könnte. Das Problem etwa, die Daten, die ein mit Sensoren versehener Traktor über die Bodenbeschaffenheit aufnimmt, rechtlich derzeit nicht zuordnen zu können, (sollen sie dem Hersteller des Traktors, dem Hersteller der Software zur Aufzeichnung der Daten, dem Halter oder dem Fahrer zugeordnet werden?), was zu Rechtsunsicherheit im Umgang mit diesen Daten führt, ist durchaus eines, das man mit einem ausschließlichkeitsrechtlich gestalteten Recht an Daten adressieren könnte. 2 Ob ein solches Ausschließlichkeitsrecht an Daten aber tatsächlich zur Herstellung von Rechtssicherheit beiträgt oder nicht vielmehr in Anbetracht der bereits bestehenden Rechtspositionen, denen bestimmte Datenformate de lege lata unterfallen können (urheberrechtlicher Daten1 Voorhoof, Freedom of Expression, Parody, Copyright and Trademarks, in: Ginsburg/Besek, Adjuncts and Alternatives to Copyright, Proceedings of the ALAI Congress 2001, 2002, S. 636, 639: „Copyright and trademark protections are the monopoly islands in the ocean of freedom.“; Geiger, GRUR Int. 2004, 815, 818 ff.; Geiger, GRUR Int. 2008, 459, 461; Geiger, Die Schranken des Urheberrechts im Lichte der Grundrechte. Zur Rechtsnatur der Beschränkungen des Urheberrechts, in: Hilty/Peukert, Interessenausgleich im Urheberrecht, 2004, S. 143, 150; Dreier, GRUR Int. 2015, 648, 656.
36
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
bankschutz, Geschäftsgeheimnisschutz etc.) zu einer Steigerung der Rechtsunsicherheit beiträgt, ist sicherlich nicht allgemeinverbindlich zu beantworten. Die betroffenen Beteiligteninteressen unterscheiden sich in den vielen verschiedenen datengetriebenen Geschäftsmodellen (z. B. der Verarbeitung von Daten im Connected Car und in sozialen Netzwerken) so erheblich, dass sich jede pauschale Lösung vorwerfen lassen muss, einen Teil der betroffenen Rechte und Interessen nicht angemessen zu berücksichtigen. Es scheint daher gewinnbringend, die Diskussion auf spezifische Sektoren zu verlagern und dort nach spezifisch passenden Lösungsoptionen zu suchen. Hierbei sollte keine Lösungsoption per se ausgeschlossen werden. Mit Blick auf Ausschließlichkeitsrechte darf hervorgehoben sein, dass diese nicht zwingend so umfassend gestaltet sein müssten, wie das Eigentumsrecht gem. § 903 BGB, sondern durchaus auch nur einzelne Nutzungs- und Abwehrbefugnisse umfassen2 oder mehreren Beteiligten zugewiesen werden könnten. Dies wird in der Diskussion z. T. verfälscht dargestellt. Ebenso wie die Reichweite seines Schutzes ließe sich auch die Schutzdauer und eine mögliche Erschöpfung des Rechtes sehr flexibel gestalten. Aber auch die gegenteilig angeführte Auffassung, man benötige weniger ein Ausschließlichkeitsrecht, denn ein Zugangsrecht zu Daten, hat einiges für sich, insbesondere, wenn es um komplexere Multi-Player-Sachverhalte, wie z. B. um Daten aus dem vernetzten Fahrzeug, geht3. Der vertragsrechtliche Umgang mit Daten ist dagegen bereits de lege 3 lata umfassend möglich. Denn eine vertragliche Disposition erfordert nicht zwingend einen Vertragsgegenstand, an dem Ausschließlichkeitsrechte bestehen. Sind Gegenstand dieser vertraglichen Disposition aber personenbezogene Daten, wirft dies eine Vielzahl datenschutzrechtlicher Fragen auf, deren Erörterung Gegenstand des vorliegenden Beitrags ist. Grundlegend kollidieren dabei das dem Vertragsrecht immanente Prinzip der Privatautonomie und das das Datenschutzrecht prägende Verbotsprinzip. Dies vorausgeschickt, sollen für die folgende Untersuchung drei Thesen aufgeworfen sein: 1. Verträge, in denen wir personenbezogene Daten hingeben und die Ein- 4 willigung in die Datenverarbeitung erklären, um hierdurch einen Dienst in Anspruch nehmen zu können, z. B. die Nutzung eines sozialen Netzwerkes, können nach §§ 133, 157 BGB nicht anders ausgelegt werden,
2 Dreier in: Weller/Wendland, Digital Single Market: Bausteine eines digitalen Binnenmarktes, 2018, im Erscheinen; Specht, CR 2016, 288 ff. 3 Drexl, Designing Competitive Markets for Industrial Data – Between Propertisation and Access, 2016, MPI for Innovation & Competition Research Paper No. 16-13, abrufbar unter: https://ssrn.com/abstract=2862975, S. 41.
37
Louisa Specht
als dass die Erklärung der Einwilligung und die Hingabe der Daten als Gegenleistung geschuldet sind. 2. Trifft die erste These zu, bedarf es zwingend einer regulatorischen Entscheidung darüber, wie die datenschutzrechtlichen Vorgaben in das nach den Grundsätzen der Privatautonomie ausgestaltete Vertragsrecht hineingetragen werden können, insbesondere, wie die jederzeitige Widerruflichkeit der Einwilligung zivilrechtlich abgebildet werden soll. 3. Insgesamt erforderlich ist die Ausgestaltung eines Datenschuldrechts, das Hand in Hand mit vorsichtigen Modifikationen/Spezifikationen des Datenschutzrechts gehen sollte. II. Auslegung der Willenserklärungen (These 1) 5 Die Richtlinie für digitale Inhalte, die derzeit im Entwurf vorliegt, gibt erstmals auf gesetzgeberischer Ebene vor, dass Daten als Gegenleistung im Vertrag hingegeben werden können4. Gemeint ist wohl auch die Erklärung der datenschutzrechtlichen Einwilligung5. Die Richtlinie für digitale Inhalte zeichnet aber nur nach, was längst Rechtswirklichkeit ist: Eine Vielzahl von Willenserklärungen, die auf den Abschluss von Verträgen gerichtet sind, in denen wir personenbezogene Daten hingeben und die Einwilligung in die Datenverarbeitung erklären, um hierdurch einen Dienst in Anspruch nehmen zu können, z. B. die Nutzung eines sozialen Netzwerkes, können nach §§ 133, 157 BGB nicht anders ausgelegt werden, als dass die Erklärung der Einwilligung und die Hingabe der Daten als Gegenleistung geschuldet ist. Der weite Leistungsbegriff des § 241 BGB und der Grundsatz der Vertragsfreiheit, dem das Vertragsrecht folgt, lassen dies problemlos zu, sofern die Willenserklärungen auslegungsfähig sind6. Und auch wenn die Art. 29 Arbeitsgruppe dies aus datenschutzrechtlicher Sicht ablehnt, ist es aus zivilrechtlicher Perspektive nahezu alternativlos7. Denn über den Inhalt eines Vertrages entscheidet 4
5 6 7
38
Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, COM(2015) 634 final; vgl. hierzu auch: Specht, JZ 2017, 763, 763 ff.; a.A. Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen: Einwilligung als Wirksamkeitsvoraussetzung des Vertrags. Specht, JZ 2017, 763 ff. Ähnlich: Langhanke, Daten als Gegenleistung, S. 97 ff. In diesem Sinne auch: Specht, Plattformnutzungsverträge, in: Röhricht/Graf von Westphalen/Haas, Rz. 21, im Erscheinen; Bräutigam, MMR 2012, 635 ff.; Specht, JZ 2017, 763 ff.; Metzger, AcP 216 (2016), 817 ff.; Sattler, JZ 2017, 1036 ff.; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221 ff.; SchmidtKessel/Grimm, ZfpW 2017, 84 ff.; Berger, ZGE 2017, 340, 353; Hoeren, Big
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
die Auslegung der Willenserklärungen der vertragsschließenden Parteien. Ist aber in den Datenschutzerklärungen explizit erläutert, dass und zu welchem Zweck eine Vielzahl von Nutzerdaten verarbeitet werden sollen, ist die Einwilligung aus Sicht eines objektiven Dritten, um mit Buchner zu sprechen, „nicht nur (notwendige oder erwünschte) Begleiterscheinung einer sonstigen rechtsgeschäftlichen Leistungsbeziehung, sondern vielmehr der Hauptzweck des Rechtsgeschäfts“.8 Die Willenserklärungen der Vertragsparteien insb. bei den diversen Internetdiensten, wie etwa sozialen Netzwerken, so auszulegen, dass hier Dienste kostenlos zur Verfügung gestellt werden, ist aufgrund des heutigen Nutzerverständnisses nicht mehr angemessen9. Erfasst von der Gegenleistungspflicht sind freilich nur Daten, die über 6 die für die Vertragserfüllung erforderlichen Daten hinausgehen werden10. Ein Rechtsbindungswille liegt außerdem erst im Falle einer Registrierung vor, so dass Daten, die bei der Suchmaschineneingabe oder gewissermaßen beiläufig beim Surfen im Internet anfallen (z. B. auch mittels Cookies, Click-Stream-Analysen etc.), grds. nicht als Gegenleistung in Betracht kommen. Denken ließe sich zwar daran, dass allein die Hingabe der personenbezo- 7 genen Daten als Gegenleistung geschuldet ist und die Einwilligung Wirksamkeitsvoraussetzung (§ 134 BGB)11 eines Datenerhebungsvertrags oder aber Voraussetzung einer Mangelfreiheit der Daten ist12; der objektive Erklärungsempfänger wird die Willenserklärungen sowohl des Nutzers
8 9 10 11 12
Data und Recht, S. 75 ff.; Intveen, ITRB 2018, 70 ff.; Bericht der Arbeitsgruppe Digitaler Neustart v. 15.5.2017, S. 15 f., 59; wohl auch: Faust, Gutachten zum 71. Deutschen Juristentag, A 17 ff.; ebenfalls in diese Richtung neigend: LG Berlin v. 22.1.2018 – 16 O 341/15, CR 2018, 256; Weichert, FS Kilian zum 65. Geburtstag, S. 281, 282, stellte bereits 2001 fest, dass eine Kommerzialisierung des Persönlichkeitsrechts durch Datenhandel durch BVerfG v. 15.12.1999 – 1 BvR 653/96, NJW 2000, 1021 („Das Persönlichkeitsrecht ist nicht im Interesse einer Kommerzialisierung der eigenen Person gewährleistet“) nicht ausgeschlossen ist; a.A. Redeker in Hoeren/Sieber/Holznagel, Multimedia-Recht, 45. EL 2017, Teil 12 Rz. 428; dagegen: Art. 29 Arbeitsgruppe v. 28.11.2017, Guidelines to Consent under Regulation 2016/679, Dokumentennummer 17/ EN WP259, S. 9. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 268. Bräutigam, MMR 2012, 635, 635 ff.; Specht, JZ 2017, 763, 763 ff.; Metzger, AcP 216 (2016), 817, 817 ff. Dazu eingehend: Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen. Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen. Vgl. krit. zu diesem Ansatz: Specht, JZ 2017, 763 ff.
39
Louisa Specht
als auch der Vertragsgegenseite aufgrund des datenschutzrechtlichen Verbotsprinzips in der Regel so auslegen müssen, dass die Erlaubnis zu ihrer Verarbeitung erlangt werden soll13. Denn die Daten an sich sind ohne die entsprechende Verarbeitungsbefugnis schon aufgrund der erheblichen Bußgeldandrohungen der DSGVO für den Datenverarbeiter nahezu wertlos. 8 Ob die Hingabe personenbezogener Daten sowie die Erklärung der datenschutzrechtlichen Einwilligung auf der einen Seite und die Überlassung eines digitalen Inhaltes oder aber die Erbringung eines Dienstes (z. B. Zurverfügungstellung eines sozialen Netzwerkes) auf der anderen Seite in einem Synallagma stehen oder lediglich kausal verknüpft sind, ist eine Frage der Ausgestaltung der Leistungen nach der jeweiligen Parteiabrede. Im Synallagma schuldet jede Partei die eigene Leistung nur Zug um Zug gegen Erbringung der Gegenleistung14, es sei denn, Parteiabrede oder Gesetz bestimmen Vorleistungspflichten15. Leistungsstörungen auf der einen Seite haben Auswirkungen auf die Leistungspflicht der Gegenseite16. Neben der synallagmatischen Verknüpfung von Leistung und Gegenleistung kommt aber auch eine konditionale oder kausale Verknüpfung in Betracht17. 9 Sind die Willenserklärungen so auszulegen, dass die Einwilligung Teil der Gegenleistungspflicht ist, kann den Parteierklärungen im Wege der Auslegung weiterhin regelmäßig entnommen werden, dass die Erklärung einer wirksamen Einwilligung (Erbringung des Leistungserfolges) und nicht lediglich die Vornahme der Leistungshandlung geschuldet ist. Denn nur die wirksame Einwilligung gestattet die Verarbeitung personenbezogener Daten. Auch grundsätzlich ist zur Erfüllung einer schuldvertraglichen Verpflichtung der Leistungserfolg geschuldet18. III. Regulatorischer Handlungsbedarf (These 2) 10 Müssen die auf den Vertragsschluss gerichteten Willenserklärungen bei einer Vielzahl datengetriebener Geschäftsmodelle so ausgelegt werden, dass die Einwilligung als Gegenleistung im Vertrag geschuldet ist und 13 Zur Abgrenzung beider Leistungsmodelle vgl. Specht, JZ 2017, 763 ff.; zur Einwilligung als Gegenleistungspflicht vgl. v.a. Metzger, AcP 216 (2016), 817 ff.; a.A. Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen. 14 BGH v. 1.8.2013 – VII ZR 75/11, NJW 2013, 3297 Tz. 20. 15 H. Schmidt in BeckOK BGB, § 320 BGB Rz. 6. 16 H. Schmidt in BeckOK BGB, § 320 BGB Rz. 6. 17 Emmerich in MüKoBGB, vor § 320 BGB Rz. 7 ff.; Linardatos in: Specht/Werry/ Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen. 18 Langhanke, Daten als Leistung, S. 124 m.w.N.
40
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
will man dem entgegenwirken, ergibt sich allein hieraus regulatorischer Handlungsbedarf. Die Erklärung der datenschutzrechtlichen Einwilligung ließe sich durch entsprechende Gesetzgebung explizit von den vertraglichen Pflichten ausschließen. Möchte man indes die Rechtswirklichkeit angemessen erfassen, so erfor- 11 dert dies die entsprechende gesetzliche Abbildung eines Datenerhebungsvertrags, dem die Erklärung der datenschutzrechtlichen Einwilligung sowie die Hingabe der Daten als Gegenleistung immanent sind. Regulatorischer Handlungsbedarf besteht hier vor allem zum Schutz des Betroffenen. Denn es wird bereits darüber nachgedacht, die jederzeitige Widerruflichkeit der Einwilligung dann, wenn sie als Gegenleistung im Vertrag erklärt wird, nach Treu und Glauben einzuschränken19 oder gar gänzlich aufzuheben20. Erscheint es aus zivilrechtlicher Perspektive logische Konsequenz einer Gegenleistungspflicht, dass diese im Grundsatz klagbar und zumindest nicht einseitig ohne Verletzung der vertraglichen Pflichten durch die Vertragsgegenseite „rückholbar“ zu sein hat, darf die Widerruflichkeit der Einwilligung aus datenschutzrechtlicher Perspektive aufgrund der Menschenwürdekomponente des informationellen Selbstbestimmungsrechts auch im Vertragsverhältnis zumindest nicht unmittelbar beschränkt sein21. Der vertragsrechtliche Umgang mit personenbezogenen Daten unterliegt den Vorgaben des Datenschutzrechts. Das informationelle Selbstbestimmungsrecht wirkt über die mittelbare Drittwirkung auch in das Privatrecht. Den Staat treffen entsprechende Schutzpflichten. Zwar trifft es zu, dass auch in anderen persönlichkeitsrechtlich relevan- 12 ten Bereichen die Widerruflichkeit der Einwilligung eingeschränkt ist, wie etwa im Bereich des Rechts am eigenen Bild22. Allerdings rührt dies vor allem aus der rechtlichen Bewertung sog. Model-Release-Verträge, bei denen ganz bewusst eine schuldvertragliche Einwilligung in die Nut19 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 270 ff. 20 So etwa: Sattler, JZ 2017, 1036 ff., der allerdings die Widerruflichkeit allein bei der vertraglich als Gegenleistung geschuldeten Einwilligung einschränken will, nicht aber die Widerruflichkeit der einseitig erklärten Einwilligung. 21 So auch: Langhanke, Daten als Leistung, S. 118; Schaffland/Wiltfang, BDSG, 2016, § 4a BDSG Rz. 27; Simitis, BDSG, 8. Aufl. 2014, § 4a BDSG Rz. 95; Scheja/Haag, Datenschutzrecht, in: Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, 3. Aufl. 2013, Abschnitt 5, E V, Rz. 80; vgl. auch § 6 Abs. 1 BDSG; Holznagel/Sonntag in: Roßnagel, Handbuch Datenschutzrecht, 2003, 4. Allgemeiner Datenschutz, Abschnitt 4.8, VII.; Thüsing/Traut in: Thüsing (Hrsg.), Beschäftigtendatenschutz und Compliance, 2. Aufl. 2016, § 5 Rz. 34 m.w.N., der nur den völlig grundlosen Widerruf für nach Treu und Glauben (§ 242 BGB) beachtlich hält. 22 Specht in Dreier/Schulze, § 22 KUG Rz. 35.
41
Louisa Specht
zung zuvor angefertigter Bildnisse erteilt wird. Das Datenschutzrecht aber leidet darunter, dass der Einwilligung häufig eine nur fingierte Informiertheit zugrunde liegt, der Betroffene aber nicht tatsächlich informiert ist, der Informationserfolg also ausbleibt. Wenn daher bereits die Einwilligung als Instrument zur Gewährleistung tatsächlicher informationeller Selbstbestimmung nur sehr beschränkt geeignet ist, so würde ein Entfallen ihrer Widerruflichkeit die informationelle Selbstbestimmung bis an die Grenze der Bedeutungslosigkeit einschränken. Erkennt der Betroffene nachträglich durch Auswirkungen der Datenverarbeitung, wie etwa durch den Erhalt personalisierter Werbung, worin er eingewilligt hat, so wäre ihm ein Widerruf nicht mehr möglich. Hervorzuheben ist auch, dass die Anerkennung der schuldvertraglichen Einwilligung als Gegenleistung im Vertrag nach den Vorgaben der Richtlinie für digitale Inhalte nicht zu einem Weniger an Datenschutz führen und daher die Bestimmungen der Datenschutzrichtlinie nicht berühren soll23. Insgesamt spricht all dies dafür, die Widerruflichkeit der Einwilligung an sich auch dann nicht anzutasten, wenn sie im Rahmen einer vertraglichen Gegenleistungspflicht erklärt wird. 13 Ausnahmen könnten sich lediglich mittelbar ergeben, z. B. indem man bei einer Rückabwicklung von Verträgen, nach denen digitale Inhalte, z. B. Computerspiele, Software, Musik etc. einmalig und punktuell überlassen wurden, im Falle des Einwilligungswiderrufes statt eines Löschungsanspruchs der Vertragspartei, die die digitalen Inhalte überlassen hat und die nach Vertragsbeendigung eigentlich vom betroffenen Datenschuldner Rückabwicklung in Form der Löschung der digitalen Inhalte verlangen könnte, einen Wertersatzanspruch vorsieht. Sprich: Das Computerspiel, das statt zu einem Preis von 14,90 Euro gegen Hingabe der Daten und Erklärung der datenschutzrechtlichen Einwilligung überlassen wurde, ist beim Betroffenen nach Widerruf der Einwilligung nicht zu löschen, sondern es entsteht ein Anspruch auf Zahlung von 14,90 Euro. Auch dieses Wertersatzmodell schränkt die Widerruflichkeit der Einwilligung und damit das informationelle Selbstbestimmungsrecht des Betroffenen mittelbar ein, weil es den Betroffenen von einem Widerruf abhalten könnte. Allerdings erfolgt durch diese mittelbare Einschränkung ein wesentlich geringerer Eingriff in das informationelle Selbstbestimmungsrecht als durch den unmittelbaren Ausschluss des Widerrufsrechts, was sich nach den Grundsätzen der Verhältnismäßigkeit noch als gerechtfertigt erachten lässt24. 23 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, COM(2015) 634 final, Begründung S. 13. 24 So bereits: Specht, JZ 2017, 763, 769.
42
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
Die grundsätzliche Widerruflichkeit der Einwilligung muss im Zivilrecht 14 normiert werden, damit es hier nicht zu einem Unterlaufen des informationellen Selbstbestimmungsrechts kommt. Dann aber stellt sich die Frage, welche Folgen ein Einwilligungswiderruf für das zugrundeliegende Vertragsverhältnis hat. Aber auch die Auswirkungen des Koppelungsverbotes auf das die datenschutzrechtliche Einwilligung als Gegenleistung anerkennende Vertragsverhältnis sind zu hinterfragen. Es ergibt sich weiterhin dringender Handlungsbedarf in Fragen der Typisierung derartiger Verträge, v. a. zum Zwecke der Festlegung des Maßstabes der Klauselkontrolle sowie der Ausgestaltung von Mängelgewährleistungsrechten. Daneben sind Grundsatzfragen zu klären, z. B. die Anwendbarkeit des Abstraktions- und Trennungsprinzips, des Stellvertretungsrechts oder aber der Vorschriften zur Leistung durch Dritte, §§ 267, 268 BGB, der §§ 320 ff. BGB sowie der §§ 312 ff. BGB25. Auch der bereicherungsrechtliche Zuweisungsgehalt personenbezogener Daten ist zu erörtern. Wo der datenschutzrechtlich Betroffene zur Vertragspartei in einem Datenerhebungsvertrag wird, sind die datenschutzrechtlichen Vorgaben insgesamt im Zivilrecht angemessen abzubilden. IV. Erfordernis eines Datenschuldrechts (These 3.1) 1. Unterscheidung von primärem und sekundärem Datenmarkt Bereits de lege lata lässt sich auf vertragsrechtlicher Ebene unterscheiden 15 zwischen der Datenerhebung und der Datenübermittlung, zwischen dem Vertragsverhältnis zwischen Betroffenem und der datenerhebenden Stelle also (Datenerhebungsvertrag, primärer Datenmarkt) und dem Vertragsverhältnis zwischen der datenerhebenden Stelle und dem Datenerwerber (Datenüberlassungsvertrag, sekundärer Datenmarkt). Beispiele für den primären Datenmarkt sind Datenerhebungen im Rahmen von Kundenbindungsprogrammen (Kundenkarten im Supermarkt, Bonushefte beim Bäcker etc.), Gewinnspielteilnahmen etc. Hier stellt die Überlassung von Daten sowie die Erklärung der datenschutzrechtlichen Einwilligung in der Regel die Gegenleistung in einem Vertragsverhältnis dar26.
25 Zu diesen Fragen vgl. insb. Schmidt-Kessel/Grimm, ZfpW 2017, 84, 104 ff.; Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen. 26 Zum Synallagma vgl. insb. ULD, Kundenbindungssysteme, S. 57 ff., abrufbar unter: https://www.datenschutzzentrum.de/wirtschaft/Kundenbindungssysteme.pdf, zuletzt abgerufen am 28.12.2017; Metzger, AcP 216 (2016), 817 ff.; krit: Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen.
43
Louisa Specht
Auf dem sekundären Datenmarkt finden sich all jene, die Daten an Drittunternehmen weiterreichen und hierfür einen wirtschaftlichen Gegenwert erhalten, in der Regel ein Entgelt. Das sind sowohl die klassischen Adresshändler, aber auch alle anderen Unternehmen, in deren Geschäftsbetrieb Daten anfallen, die sich entgeltlich an Dritte weiterreichen lassen. Hierzu gehören z. B. Hersteller von smarten Geräten, die Daten über unser Gesundheitsverhalten aufzeichnen und diese z. T. an Versicherungen weiterreichen, Anbieter sozialer Medien und Web-Analysedienste, die täglich eine Vielzahl an Daten erhalten, sie auswerten, aber ebenso weiterreichen, beispielsweise damit Dritte individualisierte Werbung schalten können (vgl. nur die facebook-Klausel „Wir verwenden Cookies, um Unternehmen dabei zu unterstützen, etwas darüber zu erfahren, welchen Personen ihre Facebook-Seite gefällt bzw. welche Personen ihre Apps verwenden, so dass sie relevantere Inhalte bereitstellen und Funktionen entwickeln können, die wahrscheinlich von Interesse für ihre KundInnen sind.“) 16 Auf diesem sekundären Datenmarkt bilden Daten in der Regel den Leistungsgegenstand, die Einwilligung ist Wirksamkeitsvoraussetzung des Vertrages. Hier fällt der Regulierungsbedarf geringer aus.
44
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
2. Konkrete Inhalte eines Datenschuldrechts für den primären Datenmarkt a) Anwendung von Abstraktions- und Trennungsprinzip Die Erklärung der datenschutzrechtlichen Einwilligung und die vertrag- 17 liche Verpflichtung hierzu sind zunächst voneinander zu trennen. Beide Vorgänge können zeitlich durchaus auseinanderfallen27. Das Trennungsprinzip findet darüber hinaus Ausprägung in Art. 8 Abs. 3 DSGVO, der gerade zwischen der Erklärung der Einwilligung und der schuldvertraglichen Verpflichtung hierzu unterscheidet. Auch das Abstraktionsprinzip aber findet Anwendung. Zwar ist zuzu- 18 geben, dass es im Wesentlichen dem Schutz des Verkehrs dient, der sich im Falle eines fehlerhaften Kausalgeschäfts jedenfalls auf den Bestand des Erfüllungsgeschäftes verlassen können soll, was im Falle einer Einwilligung in die Verarbeitung personenbezogener Daten nicht gerechtfertigt erscheint28. Bei Geltung des Abstraktionsprinzips können sich aber jedenfalls beide Parteien auf den Bestand des Verpflichtungsgeschäftes verlassen, auch wenn die datenschutzrechtliche Einwilligung (deren Erklärung das Erfüllungsgeschäft darstellt) widerrufen wurde oder von Anfang an unwirksam ist. Gerade im Falle der datenschutzrechtlichen Einwilligung, deren Wirksamkeit von so vielen Unsicherheitsfaktoren abhängt (ausreichende Informationsvermittlung, Beachtung des Koppelungsverbotes, spezifische Transparenzvorgaben etc.) ist die abstrakte Aufrechterhaltung jedenfalls des schuldrechtlichen Vertrags erforderlich. Das Abstraktionsprinzip wirkt damit gerade auch zugunsten des Betroffenen, der selbst im Falle des Einwilligungswiderrufes die vertraglich geschuldete Leistung weiterhin in Anspruch nehmen kann, bis der Datenverarbeiter das zugrundeliegende Vertragsverhältnis beendet29. b) Typologie Typologisch können wir Verträge, in denen eine Leistung gegen Über- 19 lassung von Daten sowie die Erklärung der datenschutzrechtlichen Einwilligung erfolgt, mit den Vertragstypen des BGB durchaus erfassen. Ist die datenschutzrechtliche Einwilligung sowie die Hingabe der Daten als Gegenleistung geschuldet, wird in der Regel ein Vertrag mit doppeltem
27 Vgl. hierzu v.a. Langhanke, Daten als Leistung, S. 150 m.w.N. auch aus der Literatur. 28 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 449. 29 Ähnlich: Langhanke, Daten als Leistung, S. 165 f.
45
Louisa Specht
Typus vorliegen, in dem die Erklärung der Einwilligung aufgrund ihrer Widerruflichkeit30 lizenzvertragsähnlich ausgestaltet ist und daher mietund pachtvertraglichen Regelungen folgt. Die Leistungserbringung ist je nach Ausgestaltung miet- und dienstvertraglich zu beurteilen (so bei der Zurverfügungstellung eines Zugangs zu sozialen Netzwerken), kaufvertraglich (punktuelle und endgültige Überlassung von Software, Musikdateien, E-Books etc.) oder auch nach anderen Vertragstypen31. Diese Lösung hat den Charme, dass sie erstens die Vertragsrealitäten angemessen erfasst und nicht länger davon ausgeht, die Erklärung der datenschutzrechtlichen Einwilligung sei bloße Nebenleistung in einem ansonsten einseitig verpflichtenden Vertrag. Dies wird der wirtschaftlichen Bedeutung der Datenerhebung und -verarbeitung schlicht nicht mehr gerecht. Sie hat aber zweitens den Vorteil, dass die jeweils auf Leistung und Gegenleistung passenden Regelungen des Leistungsstörungsrechts anwendbar sind und damit v. a. Störungen des Vertragsverhältnisses, die durch spezifische datenschutzrechtliche Vorgaben entstehen, einheitlich gelöst werden können. Im Falle eines Einwilligungswiderrufs kommt unabhängig von der Leistung der Vertragsgegenseite stets das für die Einwilligung geltende Rechtsregime zur Anwendung32. c) Problematik des Koppelungsverbotes 20 Ob und wie die Einwilligung überhaupt als vertragliche Gegenleistung erklärt werden kann, ist maßgeblich von der Auslegung des Koppelungsverbotes abhängig. Wird gegen das Koppelungsverbot verstoßen, fehlt es an der Freiwilligkeit, ist die Einwilligung in die Datenverarbeitung unwirksam. Nach Art. 7 Abs. 4 DSGVO muss „bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob (..) die Erfüllung eines Vertrags (..) von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ 21 Nach Erwägungsgrund 43 S. 2 gilt die Einwilligung als nicht freiwillig erteilt, „wenn die Erfüllung eines Vertrags (..) von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
30 Art. 7 Abs. 3 DSGVO. 31 Ebenfalls im Wesentlichen auf die Regelungen des Pachtvertragsrechts abstellend: Sattler, JZ 2017, 1036, 1038. 32 Hierzu bereits umfassend: Metzger, AcP 216 (2016), S. 817 ff.
46
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
Zwar ist streitig, ob Erwägungsgrund 43 zwingend zu einem absoluten Koppelungsverbot führt33; wird die Einwilligung als Gegenleistung im Vertrag geschuldet, ist die Erfüllung dieses Vertrags aber aufgrund von Zurückbehaltungsrechten jedenfalls grundsätzlich von der Erklärung der Einwilligung abhängig und gilt damit als nicht freiwillig erteilt i. S. d. Erwägungsgrund 43. Während sich die Art. 29 Arbeitsgruppe daher zuletzt insgesamt gegen 22 die Möglichkeit aussprach, die Einwilligung als Gegenleistung im Vertrag zu erklären34, sprechen die wesentlicheren Argumente dagegen, die Erteilung einer Einwilligung im gegenseitigen Vertrag generell als Verstoß gegen das Koppelungsverbot zu erachten. Denn das Koppelungsverbot ist Ausprägung des Grundsatzes der Freiwilligkeit und soll den Betroffenen daher v. a. davor schützen, der Fremdbestimmung eines Dritten ausgesetzt zu sein. Das wird z. B. deutlich an Erwägungsgrund 43 S. 1, der ein Ungleichgewicht zwischen dem Betroffenen und dem Verantwortlichen als Grund fehlender Freiwilligkeit der Einwilligung voraussetzt. Das Rechtsgeschäft aber ermöglicht es, sich in Ausübung von Privatautonomie selbst zu binden. Vor dieser Selbstverpflichtung zu schützen, ist nicht Telos des Koppelungsverbotes. In dieser Situation kommt es nicht darauf an, ob die Einwilligung freiwillig erteilt wird, sondern ob das Vertragsverhältnis, das zu ihrer Erteilung verpflichtet, freiwillig geschlossen wurde. Der Maßstab, an dem dieses Verhalten zu messen ist, ist aber v. a. Art. 102 AEUV bzw. § 19 GWB sowie §§ 134, 138 BGB und nicht das Koppelungsverbot35. Hinzu kommt, dass der Anwendungsbereich der Einwilligung umfassend reduziert wäre, wenn das Koppelungsverbot absolut verstanden würde. Denn eine Datenverarbeitung, die zur Abwicklung des Geschäfts erforderlich ist, ist in der Regel bereits über Art. 6 Abs. 1 lit. b DSGVO zulässig und bedarf daher keiner Einwilligung.
33 Zum Streitstand vgl. Heckmann/Paschke in Ehmann/Selmayr, DatenschutzGrundverordnung, 1. Aufl. 2017, Art. 7 DSGVO Rz. 53 ff. 34 Art. 29 Arbeitsgruppe v. 28.11.2017, Guidelines to Consent under Regulation 2016/679, Dokumentennummer 17/EN WP259, S. 9. 35 Heckmann/Paschke in Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 7 DSGVO Rz. 52; Frenzel in Paal/Pauly, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 7 DSGVO Rz. 21; Buchner/Kühling in Kühling/ Buchner, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 7 DSGVO Rz. 48; Schulz in Gola, DSGVO, Art. 7 DSGVO Rz. 27; a.A. Stemmer in BeckOK Datenschutzrecht, 22. Edition, Stand: 1.8.2017, Art. 7 DSGVO Rz. 41; vgl. zu diesem Problemkomplex auch: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 267 ff.; Buchner, DuD 2016, 155, 159.
47
Louisa Specht
23 Naheliegender ist es daher, das Koppelungsverbot nach Sinn und Zweck auf Fälle zu beschränken, in denen die Koppelung tatsächlich zu einer Fremdbestimmung führt, z. B. auf solche Fälle, in denen der Betroffene auf die Leistung angewiesen ist36 oder die Leistung im gesamten Markt nicht ohne Einwilligung in die Verarbeitung von Daten verfügbar ist, die nicht für die Vertragserfüllung erforderlich sind. Jedenfalls bedarf es stets einer Einzelfallabwägung. 24 Wird der Betroffene durch bewusstes Ausnutzen einer Zwangslage koppelungsverbotswidrig zum Vertragsschluss bestimmt, ergibt sich eine Nichtigkeit des Datenerhebungsvertrags/des Datenüberlassungsvertrags gem. § 138 BGB37. Dies kann auch in Tatbeständen der Fall sein, in denen ursprünglich das Koppelungsverbot griff, z. B. wenn ein Angebot marktweit nicht ohne Einwilligung verfügbar ist. d) Rechtsnatur der Einwilligung und Erklärung durch Minderjährige 25 Die datenschutzrechtliche Einwilligung ist im Grundsatz als einseitige und jederzeit widerrufliche Erklärung ausgestaltet, bei der noch immer nicht abschließend darüber entschieden ist, ob sie denn nun rechtsgeschäftliche oder rechtsgeschäftsähnliche Erklärung ist. Im Vertrag wird sie aber auf der Stufenleiter der Gestattungen38 zur schuldvertraglichen Gestattung. Nutzungsrechte an personenbezogenen Daten ließen sich allenfalls als einfache Nutzungsrechte denken, denn es geht nicht an, dass sich der Betroffene durch Einräumung ausschließlicher Nutzungsrechte der Nutzungsbefugnis an den ihn betreffenden personenbezogenen Daten vollständig begibt. Eine translative Übertragung eines de lege ferenda durchaus denkbaren Vermögensrechts „am eigenen Datum“ ist vor diesem Hintergrund nicht möglich. Sowohl der Einräumung ausschließlicher Nutzungsrechte als auch der translativen Übertragung steht die Menschenwürde entgegen, aus der das informationelle Selbstbestimmungsrecht als hier betroffenes Grundrecht u. a. folgt39. 26 Erachtet man die als vertragliche Gegenleistung geschuldete Einwilligung als schuldvertragliche Gestattung40, so sind im Falle eines Vertrags36 Heckmann/Paschke in Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 7 DSGVO Rz. 55. 37 Hierzu bereits: Specht, JZ 2017, 763, 768. 38 Ohly, Volenti non fit iniuria. Die Einwilligung im Privatrecht, 2002, S. 144. 39 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, Kapitel 6. Vgl. zur Einräumung von Datenrechten auch: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 279 ff. 40 So etwa zutreffend: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 267 ff.; Sattler, JZ 2017, 1036, 1038.
48
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
schlusses durch Minderjährige grundsätzlich die §§ 104 BGB ff. anwendbar41. Art. 8 Abs. 1 DSGVO, wonach ein Minderjähriger mit Vollendung des 16. Lebensjahres einwilligungsfähig ist, gilt für die vertraglich geschuldete Erklärung der Einwilligung selbst, nicht aber für den auf die Erklärung gerichteten Vertragsschluss. e) Stellvertretungsrecht Ein Verbot der Stellvertretung kommt in einer den gesetzlich normier- 27 ten Stellvertretungsverboten vergleichbaren Rechts- und Interessenlage in Betracht42. Vor allem das Familien- und Erbrecht enthält eine Vielzahl von Vertretungsverboten, die auf der Bedeutung der Rechtsgeschäfte für die Person und ihre Persönlichkeitsentfaltung beruhen43. Ob die Höchstpersönlichkeit der Einwilligung grundsätzlich vergleichbar mit Fällen der Eheschließung (§ 1311 BGB) oder der Einwilligung in die Adoption (§ 1750 Abs. 3 S. 1 BGB) ist, erscheint aber fraglich, sodass man wohl eher von einer Anwendbarkeit des Stellvertretungsrechts auf die Erklärung der datenschutzrechtlichen Einwilligung ausgehen können wird, solange der Gesetzgeber nicht aktiv ein Stellvertretungsverbot normiert. f) Leistung durch einen Dritten, § 267 BGB Grundsätzlich ist der Gläubiger berechtigt, eine Drittleistung zurück- 28 zuweisen, wenn der Schuldner ihr widerspricht. Allerdings liegt eine erforderliche direkte Drittleistung nur vor, wenn der Dritte eine eigene Leistung auf die fremde Schuld erbringt, er also nicht nur als Stellvertreter des Verpflichteten handelt44. Das Gesetz geht davon aus, dass die Leistungserbringung durch einen Dritten weder dem Gläubiger noch dem Schuldner direkte Nachteile bringt und erlaubt es daher grundsätzlich jedem Dritten, die Erfüllung der Forderung zu bewirken45. Dies muss im Falle der schuldrechtlichen Verpflichtung zur Erklärung der datenschutzrechtlichen Einwilligung allerdings anders beurteilt werden. Wenngleich der Grad der Höchstpersönlichkeit nicht ausreicht, um eine Anwendbarkeit des Stellvertretungsrechts auszuschließen, wird die Erteilung der Einwilligung in die Verarbeitung personenbezogener Daten regelmäßig einen Grad an Höchstpersönlichkeit erreichen, der eine Anwendbarkeit des § 267 BGB ausschließt. Anders könnte dies nur dann liegen, wenn
41 42 43 44 45
Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 274 ff. Schubert in MüKo BGB, 7. Aufl. 2015, § 164 BGB Rz. 99. Schubert in MüKo BGB, 7. Aufl. 2015, § 164 BGB Rz. 98. Krafka in BeckOGK BGB, § 267 BGB Rz. 1. Krafka in BeckOGK BGB, § 267 BGB Rz. 3.
49
Louisa Specht
die Einwilligung zu Zwecken der Datenverarbeitung einer bestimmten Gruppe von Personen erfolgt und der Drittleistende ebenfalls dieser Personengruppe angehört. Im Ergebnis wird man eine Einzelfallbetrachtung anhand des konkreten Datenverarbeitungsszenarios vornehmen müssen. g) Verbraucherschutzrecht, §§ 312 ff. BGB 29 Die §§ 312 ff. BGB sollten auch im primären Datenmarkt anwendbar sein, wenn Verbraucher in das Rechtsgeschäft einbezogen sind. Denn die Stellung von Verbraucher und Unternehmer ist im primären Datenmarkt nicht anders als im Falle anderer Verbraucherverträge. Der Begriff des Entgelts gem. § 312 BGB ist richtlinienkonform weit auszulegen und umfasst auch nicht-pekuniäre Leistungen mit Marktwert, mithin auch als Gegenleistung hingegebene Daten46. §§ 312 ff. BGB sehen im Falle eines Fernabsatzvertrages (als wichtigsten Fall für den Anwendungsbereich der hier untersuchten Verträge) ein Widerrufsrecht für den Verbraucher vor, das dann aber nicht an die Stelle des aus dem Datenschutzrecht folgenden Widerrufsrechts treten kann, sondern gewissermaßen daneben steht. Die Rechtsfolgen beider Widerrufsrechte unterscheiden sich: Wird bei Widerruf der datenschutzrechtlichen Einwilligung der Vertragsgegenseite ein fristloses Kündigungsrecht gem. § 543 Abs. 2 Nr. 2 BGB eingeräumt, sind die Leistungen nach einem Verbraucherwiderruf gem. § 357 BGB zwingend rückabzuwickeln. Anwendbar auf den Verbraucherwiderruf ist auch § 312g Abs. 5 BGB. 30 Die Buttonlösung gem. § 312j BGB fordert dagegen ebenso wie seine unionsrechtliche Grundlage Art. 8 Abs. 2 Verbraucherrechte-Richtlinie eine Zahlungspflicht des Verbrauchers. Welcher Art diese Zahlung sein muss, darauf gibt die Richtlinie nur wenige Hinweise47. Einerseits spricht die Unterscheidung in der englischen Fassung der Richtlinie zwischen „consideration“ (z. B. in Art. 27 VRRL) und der „obligation to pay“ in Art. 8 Abs. 2 VRRL eher dafür, lediglich für staatlich anerkannte Zahlungsmittel den Anwendungsbereich des § 312j BGB zu eröffnen. Mit dem effet utile, Art. 4 Abs. 3 EUV, ließe sich aber andererseits auch eine weite Auslegung vertreten, die Daten als Zahlungsmittel erfasst. Hier wird es einer rechtspolitischen Entscheidung bedürfen, die auch in Betracht zieht, ob und in welcher Form eine Button-Lösung die datenschutzrechtliche Informationsvermittlung verbessern oder den Verbraucher lediglich noch tiefgehender informationell überlasten würde.
46 Statt vieler: Busch in BeckOGK BGB, § 312 BGB Rz. 11. 47 Für eine weite Auslegung: Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen.
50
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
Empirische Grundlagen zum Verbraucherverhalten wären hier sicherlich gewinnbringend. h) Verhältnis von Schadensersatzansprüchen zu Ansprüchen nach Art. 82 DSGVO Zwar lässt sich darüber streiten, ob neben Art. 82 DSGVO auch die 31 §§ 823 ff. BGB zur Anwendung gelangen können48. Jedenfalls vertragliche Ansprüche aber sind nicht gesperrt und können daher neben die Ansprüche gem. Art. 82 DSGVO treten49. i) Auswirkungen anfänglicher Unwirksamkeit der Einwilligung auf das Vertragsverhältnis Ist die Einwilligung von Anfang an unwirksam, weil im Zeitpunkt der 32 Einwilligung nicht korrekt oder nicht ausreichend informiert wurde, sind insb. zwei Rechtsfolgen denkbar: Es lässt sich erstens daran denken, die Informationspflicht auf den Zeitpunkt der vertraglichen Selbstverpflichtung vorzuverlagern und eine Unwirksamkeit des Vertrags bei Verletzung der Informationspflicht zu statuieren. Folgt man allerdings dem Abstraktions- und Trennungsprinzip, gilt die Informationspflicht zunächst lediglich für die Erklärung der Einwilligung selbst, nicht aber für die vertragliche Verpflichtung hierzu. Denkbar scheint insofern im Falle unzureichender Informationsvermittlung auch eine Anfechtbarkeit des zur Einwilligung verpflichtenden Vertrages gem. § 123 BGB (Täuschung durch bewusstes Verschweigen wesentlicher Informationen)50. Eine solche Anfechtbarkeit wird erstens dann naheliegen, wenn schuldrechtlich allein eine Einwilligung in die Verarbeitung zu noch näher zu spezifizierenden Zwecken geschuldet ist (Leistungsbestimmungsrecht gem. § 315 BGB), auch im Zeitpunkt der Einwilligung aber keine hinreichende Information erfolgt oder der Betroffene mit der spezifizierten Datenverarbeitung nicht einverstanden
48 Dafür: Frenzel in Paal/Pauly, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 82 DSGVO Rz. 20; Bergt in Kühling/Buchner, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 82 DSGVO Rz. 67; Quaas in BeckOK Datenschutzrecht, Art. 82 DSGVO Rz. 11-13; Gola/Piltz in Gola, DSGVO, Art. 82 DSGVO Rz. 25; dagegen: Kresse in Sydow, Europäische Datenschutzgrundverordnung, Art. 82 DSGVO Rz. 27. 49 Kresse in Sydow, Europäische Datenschutzgrundverordnung, Art. 82 DSGVO Rz. 27; Gola/Klug/Körffer in Gola/Schomerus, BDSG, 12. Aufl. 2015, § 7 BDSG Rz. 18; Gola/Piltz in Gola, DSGVO, Art. 82 DSGVO Rz. 22. 50 Specht, JZ 2017, 763, 768.
51
Louisa Specht
ist. Faktisch läuft dies darauf hinaus, dass ein einseitiges Leistungsbestimmungsrecht für den Verantwortlichen jedenfalls unattraktiv ist. Fallen der Abschluss des schuldrechtlichen Vertrags und die Erteilung der Einwilligung aber auf denselben oder zwei zeitlich sehr nahe beieinanderliegende Zeitpunkte, sind zwei Fallkonstellationen denkbar: Es wird zwar informiert, die Information ist aber nicht detailliert genug, es wird z. B. über die Datenweitergabe informiert, nicht aber darüber, an wen die Daten übermittelt werden sollen. Hier führt die unzureichende Information ebenfalls nicht zur Unwirksamkeit des Vertrags. Dieser bleibt aufgrund der Geltung des Abstraktions- und Trennungsprinzips zunächst wirksam. Die Willenserklärungen beider Parteien sind dann dahin auszulegen, dass zwar die Erklärung der datenschutzrechtlichen Einwilligung in die benannten Verarbeitungszwecke geschuldet ist, diese jedoch ohne Nachbesserung der Information stets unwirksam ist. Bessert der Verantwortliche bei der Datenverarbeitung nach, kann der Betroffene entweder auf dieser Grundlage einwilligen oder den auf die Einwilligung gerichteten Vertrag gem. § 123 BGB anfechten. Sind dagegen bereits die Art der Datenverarbeitung oder die Verarbeitungszwecke zum Zeitpunkt des Vertragsschlusses nicht hinreichend benannt, fehlt es bereits an den essentialia negotii. Alternativ böte es sich auch an, die Informationspflicht auf den Zeitpunkt des Vertragsschlusses zu verlagern. j) Widerruflichkeit der Einwilligung und Folgen für das Vertragsverhältnis 33 Möchte man an der jederzeitigen Widerruflichkeit der Einwilligung auch im Vertragsrecht festhalten, werden im Vertrag mit doppeltem Typus im Falle des Einwilligungswiderrufes die Folgen des Widerrufs durch das auf die lizenzvertragsähnlich ausgestaltete Einwilligung anwendbare Miet- und Pachtvertragsrecht geregelt. Der Einwilligungswiderruf ist vergleichbar mit der Situation, in der der Miet- bzw. Pachtgegenstand nicht länger zur Verfügung gestellt wird. Folge ist, dass der Gegenseite ein außerordentliches Kündigungsrecht gem. § 543 Abs. 2 Nr. 1 BGB51 zusteht. Das Vertragsverhältnis endet mit Wirkung ex nunc, sofern auch die Leistung des Datenverarbeiters im Rahmen eines Dauerschuldverhältnisses erbracht wird (z. B. im Rahmen von Nutzungsverträgen sozialer Netzwerke). 34 Wurden endgültig und punktuell digitale Inhalte gegen Hingabe von Daten und Erklärung der Einwilligung überlassen (so z. B. Software), so
51 Metzger, AcP 216 (2016), 817, 864; Specht, JZ 2017, 763, 768; ähnlich bereits: Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 272.
52
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
sind die erbrachten Leistungen rückabzuwickeln. Erworbene digitale Inhalte sind von demjenigen, der seine Einwilligung widerruft, zu löschen. Alternativ ließe sich auch der unter III. bereits angesprochene Wertersatzanspruch begründen, was freilich ein gesetzgeberisches Tätigwerden erforderte52. k) Durchsetzbarkeit des Anspruchs auf Erklärung der Einwilligung Jedenfalls dann, wenn die Widerruflichkeit als Instrument tatsächlicher 35 Selbstbestimmung nicht angetastet werden soll, muss ihre prozessuale Durchsetzbarkeit beschränkt werden. Dies lässt sich auf drei Wegen realisieren: aa) Option 1: Fehlende Klagbarkeit der Einwilligung Die Einwilligung könnte erstens nicht klagbar ausgestaltet sein53. Den 36 Interessen des Datenverarbeiters wird dadurch ausreichend Rechnung getragen, dass er den Vertrag, dessen Gegenleistung die Erklärung der datenschutzrechtlichen Einwilligung bildete, durch außerordentliche Kündigung beenden kann. Das Schuldrecht kennt derartige nicht klagbare Leistungen als unvollkommene Verbindlichkeiten. Sie sind prozessual nicht bzw. nicht gegen den Willen des Schuldners durchsetzbar, bilden jedoch einen Erwerbsgrund für die Leistung54. Beispielhaft nennen lässt sich die Wettschuld, § 762 BGB. Als Naturalobligationen ausgestaltet sind in der Regel aber gerade solche Leistungen, die der Gesetzgeber missbilligt, was bei der Erklärung der datenschutzrechtlichen Einwilligung jedenfalls nicht grundsätzlich festgestellt werden kann55. bb) Option 2: Vollstreckungslösung Es lässt sich zweitens an eine vollstreckungsrechtliche Lösung denken, 37 wie sie sich beispielsweise für die fehlende Vollstreckbarkeit der Herstellung des ehelichen Lebens ergibt (§ 120 Abs. 3 FamFG). Auch diese Verpflichtung ist aufgrund ihrer persönlichkeitsrechtlichen Implikation nicht vollstreckbar. Eine entsprechende Regelung ließe sich für die Erklärung der datenschutzrechtlichen Einwilligung normieren. Erachtet man sie als rechtsgeschäftliche Erklärung, wäre dies allerdings nur dann ausreichend, wenn man gleichzeitig § 894 ZPO für unanwendbar erklärte. Anderenfalls würde die schuldvertragliche Einwilligung als Willens52 53 54 55
Specht, JZ 2017, 763, 769. So z.B.: Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221. Mansel in Jauernig, BGB, § 241 BGB Rz. 20-22. Sattler, JZ 2017, 1036, 1040.
53
Louisa Specht
erklärung (wenn man sie als solche erachtet) bereits durch rechtskräftiges Urteil fingiert. cc) Option 3: Materiellrechtliche Lösung 38 Äußerst charmant scheint gegenüber einer fehlenden Klagbarkeit sowie einer Einschränkung der Vollstreckbarkeit eine Lösung auf materiellrechtlicher Ebene. Nach § 242 BGB ist die Beanspruchung einer Leistung mangels schutzwürdiger Interessen unzulässig, wenn die Leistung sofort wieder zurückgewährt werden müsste56. Im Falle eines Widerrufs der datenschutzrechtlichen Einwilligung wird die Leistung des Datenund Einwilligungsschuldners aber gerade rückgängig gemacht. Aufgrund der jederzeitigen Möglichkeit eines solchen Widerrufs ist die Geltendmachung eines entsprechenden Anspruchs auf Erklärung der datenschutzrechtlichen Einwilligung damit lediglich geeignet, dem Schuldner unnötige Erschwernisse aufzubürden, ohne dem Gläubiger legitime Vorteile einzubringen. Mit dieser Argumentation ließe sich ein dauerhafter doloagit-Einwand begründen, der einem Anspruch auf Erklärung der datenschutzrechtlichen Einwilligung entgegengehalten werden könnte57. l) Zurückbehaltungsrecht, § 320 BGB 39 Zu klären ist auch, ob in einem Vertrag, der zur Erklärung der datenschutzrechtlichen Einwilligung verpflichtet, Zurückbehaltungsrechte zur Anwendung gelangen können. Ist die Einwilligung nicht klagbar ausgestaltet, kommt auch eine Zug-um-Zug-Verurteilung nicht in Betracht. Leistung und Gegenleistung sind hier allein konditional verbunden, weil die Leistung des Dateninhabers jedenfalls nicht durchsetzbare Bedingung für die Leistung des Anbieters digitaler Inhalte ist58. Insofern kommt ein Zurückbehaltungsrecht allein gem. § 273 BGB in Betracht. m) Mängelgewährleistungsrechte 40 Daten können im primären Datenmarkt auf vielfältige Art und Weise mangelhaft sein, etwa weil sie die falsche Person betreffen oder veraltet sind. Der Betroffene stellt dann die mit einem Mangel behafteten Daten zur Verfügung und kann daher entsprechend dem anwendbaren Mängelgewährleistungsrecht in Anspruch genommen werden. Der Widerruf der datenschutzrechtlichen Einwilligung ist dagegen stets aufgrund Art. 7 56 Sutschet in BeckOK BGB, § 242 BGB Rz. 84. 57 Langhanke, Daten als Leistung, S. 127. 58 So zutreffend: Linardatos in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen.
54
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
DSGVO gerechtfertigt, weshalb er keine Schadensersatzansprüche auslösen kann59. n) Weitere erforderliche Regelungen Der primäre Datenmarkt ließe sich entsprechend den vorbenannten 41 Grundsätzen auch gesetzlich ausgestalten oder jedenfalls in Musterverträgen mit Standardvertragsklauseln Beispielregelungen zuführen. Ein Vergütungsanspruch der Betroffenen für die Bereitstellung der personenbezogenen Daten sowie die Erklärung der datenschutzrechtlichen Einwilligung entsprechend § 32 UrhG scheint zwar denkbar, würde allerdings Fehlanreize hin zu einer noch stärkeren Preisgabe personenbezogener Daten setzen und außerdem mit einer gewissen Wahrscheinlichkeit von den Datenverarbeitern im Rahmen eines zusätzlich geschuldeten Entgelts (z. B. im datenerhebenden vernetzten Auto) schlicht eingepreist werden. Der Betroffene würde wohl schlussendlich nicht von einem solchen Anspruch profitieren. Eine Regelung zur Gestattung einer Datenverarbeitung zu noch unbekannten Zwecken entsprechend § 32c UrhG ist mit dem Zweckbindungsgrundsatz des Datenschutzrechtes nicht vereinbar. 3. Konkrete Inhalte eines Datenschuldrechts für den sekundären Datenmarkt Im Gegensatz zum Datenerhebungsvertrag im primären Datenmarkt, in 42 dem die Hingabe der Daten sowie die Erklärung der datenschutzrechtlichen Einwilligung die Leistungs- bzw. Gegenleistungspflichten des Betroffenen darstellen, hat der Datenüberlassungsvertrag im sekundären Datenmarkt (also im Vertragsverhältnis zwischen der datenerhebenden Stelle und dem dritten Erwerber der Daten) allein die Überlassung der Daten als Leistungspflicht (seltener: als Gegenleistungspflicht) zum Gegenstand. Denn ist der Betroffene nicht beteiligt, kann auch die Erklärung der Einwilligung nicht geschuldet sein. Werden Daten von einer datenerhebenden Stelle an einen Dritten überlassen, ist das Vorliegen der datenschutzrechtlichen Einwilligung in die intendierte Form der Datenverarbeitung vielmehr relevant für die Wirksamkeit des Vertrags sowie für die Mangelfreiheit des Vertragsgegenstands.
59 Ähnlich: Langhanke, Daten als Leistung, S. 137 f., die jedoch im Einzelfall bei „grundlosem Widerruf zur Unzeit“ einen Schadensersatzanspruch annehmen möchte.
55
Louisa Specht
a) Typologie 43 Die punktuelle, endgültige Überlassung eines Gegenstands ist auch dann, wenn es sich nicht um einen körperlichen Gegenstand handelt, typologisch dem Kaufvertragsrecht zuzuordnen. Dies gilt selbst dann, wenn ein Zuständigkeitswechsel nicht stattfindet – wie dies bei nichtrivalen Gütern wie Daten jedenfalls dann der Fall ist, wenn die Daten beim Datenübermittler nicht zeitgleich mit der Übermittlung gelöscht werden. Prägend für das Kaufvertragsrecht ist neben der Entreicherung des Veräußerers nämlich vor allem die Endgültigkeit der Gebrauchsüberlassung60. Auch der Know-How-Vertrag, der eine Nähe zum Datenüberlassungsvertrag aufweist, da Know-How regelmäßig in Daten kodiert wird, wird dann, wenn das Know-How endgültig überlassen wird, als Kaufvertrag qualifiziert61. Dem ist auch für den Datenüberlassungsvertrag zu folgen62. 44 Wird nicht ein bereits existenter Datenbestand überlassen, sondern werden die Daten vor der Überlassung für den Erwerber generiert, kann auch ein Werkvertrag vorliegen63. Erfolgt die entgeltliche Überlassung der Daten zeitlich begrenzt, folgt sie dem Pachtvertragsrecht. Denn die Miete setzt einen körperlichen Gegenstand als Vertragsobjekt voraus64. Wird lediglich Speicherplatz angemietet, um die Daten auf fremden Servern zu speichern (Cloud-Lösungen), so liegt keine Datenüberlassung vor, weil der Cloud-Anbieter nicht selbst auf die Daten zugreifen darf. Eine Datenüberlassung erfordert indes stets die Überlassung der Daten zu Zwecken der eigenen Nutzung oder zur Nutzung für einen Dritten, der nicht die datenüberlassende Stelle ist. Im Falle der Überlassung der Daten zu Zwecken der Nutzung für die datenüberlassende Stelle liegt i. d. R. ein Auftragsverarbeitungsvertrag vor.
60 Von Gierke, Deutsches Privatrecht, Bd. III, S. 509. 61 BT-Drucks. 14/6040, S. 242; Stumpf, Der Know-How-Vertrag, Rz. 21; Haedicke, Rechtskauf und Rechtsmängelhaftung, S. 302 f.; a.A. van der Velde, DB 1961, 716, 719; vgl. zur typologischen Qualifikation auch: Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 155 ff. 62 Im Ergebnis ebenso: Rank in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen. 63 Dazu eingehend: Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 136. 64 Vgl. statt Vieler: Schmidt in BeckOK BGB, § 535 BGB Rz. 35; im Ergebnis ebenso Rank in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen.
56
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
Insofern ergeben sich folgende Vertragsausgestaltungsoptionen, wobei al- 45 lein die Datenüberlassung im Rahmen eines Datenüberlassungsvertrags als im „sekundären Datenmarkt“ erfolgend bezeichnet werden soll.
b) Nichtvorliegen der Einwilligung Werden Daten überlassen, ohne dass eine Einwilligung oder ein gesetz- 46 licher Erlaubnistatbestand für diese Überlassung vorliegt, ist der Datenüberlassungsvertrag gem. § 134 BGB nichtig65. Denn Art. 6 Abs. 1 DSGVO ist – ebenso wie zuvor bereits §§ 4 Abs. 1, 28, 29 BDSG – ein Verbotsgesetz. Zwar handelt es sich wohl um nur einseitige Verbote, da sich die Vorschriften an den Verantwortlichen richten, die Nichtigkeit folgt allerdings auch aus der Verletzung einseitiger Verbote, falls der Zweck des Gesetzes anders nicht zu erreichen ist66. Nach Sinn und Zweck insbesondere des in Art. 6 Abs. 1 DSGVO normierten Verbotsprinzips, den Betroffenen effektiv vor Beeinträchtigungen seines informationellen Selbstbestimmungsrechts zu schützen67, kann ein Anspruch der datenerwerbenden Stelle auf Erhalt der datenschutzwidrig zu übermittelnden Daten auch im Falle eines nur einseitigen Verbotes nicht aufrechterhalten werden68. 65 LG Düsseldorf v. 20.12.2013 – 33 O 95/13 U, ZD 2014, 200 ff. 66 BGH v. 25.6.1962 – VII ZR 120/61, BGHZ 37, 258 (262) = NJW 1962, 2010 (2011); BGH v. 25.7.2002 – III ZR 113/02, BGHZ 152, 10 (12) = NJW 2002, 3015 (3016); BGH v. 16.12.2002 – II ZR 109/01, BGHZ 153, 214 (218) = NJW 2003, 1252 (1254); BGH v. 22.12.2000 – VII ZR 310/99, BGHZ 146, 250 (257 f.) = NJW 2001, 818 (819); BGH v. 22.2.2001 – IX ZR 357/99, BGHZ 147, 39 (44) = NJW 2001, 1569 (1570). 67 Dammann in Simitis, BDSG, § 44 BDSG Rz. 1. 68 In diesem Sinne wurde auch die Nichtigkeit eines Rechtsgeschäfts im Falle eines einseitigen Verstoßes gegen das Rechtsberatungsgesetz begründet, vgl. BGH v. 25.6.1962 – VII ZR 120/61, BGHZ 37, 258 (262) = NJW 1962, 2010
57
Louisa Specht
47 Liegt die Einwilligung in die Datenweitergabe aber vor und wird sie lediglich nachträglich widerrufen, so ändert dies nichts an der Rechtmäßigkeit der zuvor erfolgten Übermittlung. Einen Rechtsmangel der Daten begründet es allerdings, wenn die Einwilligung in die Datenübermittlung zwar vorliegt, die Einwilligung in die vom Datenerwerber angestrebte Datenverarbeitung aber spätestens im Zeitpunkt des Gefahrübergangs widerrufen wird oder bereits anfänglich nicht vorliegt, etwa, weil die Art der angestrebten Datenverarbeitung nicht von der Einwilligung gedeckt ist (Speicherung auf Servern im Ausland, Auswertung etc.) oder aber der Zweck der angestrebten Datenverarbeitung nicht von der datenschutzrechtlichen Einwilligung erfasst ist. c) Klagbarkeit der Leistung 48 Sowohl die Klagbarkeit der Leistung als auch die Nacherfüllung im Falle mangelhafter Daten ist möglich, sofern Daten mittlerer Art und Güte gem. § 243 BGB geschuldet sind. Die Nacherfüllung beschränkt sich allerdings auf die Nachlieferung von Daten, deren Verarbeitung durch Einwilligung oder Erlaubnistatbestand gestattet ist. Denn die Verpflichtung zur nachträglichen Einholung einer einmal widerrufenen Einwilligung kann der Datenlieferant nicht erfüllen, sofern der Betroffene nicht weiter aus freien Stücken einwilligen will. Die Nachbesserung ist damit unmöglich i. S. d. § 275 Abs. 1 BGB, weshalb sich die Nacherfüllung im Kaufrecht auf die andere Art beschränkt, § 439 Abs. 3 S. 3 BGB. Sind ganz bestimmte Daten ganz bestimmter Personen geschuldet und haben diese widerrufen, so ist auch die Nachlieferung von Daten, die entsprechend verarbeitet werden dürfen, unmöglich und damit auch eine Klagbarkeit des Anspruchs auf Leistung bzw. Nacherfüllung ausgeschlossen, § 275 Abs. 1 BGB. d) Mängelgewährleistung im Übrigen 49 Im Übrigen finden die Mängelgewährleistungsrechte des jeweils einschlägigen Vertragstypus Anwendung. Mangelhaft können Daten im sekundären Datenmarkt nicht nur sein, weil sie veraltet sind oder sich auf die falsche Person beziehen, sondern auch dann, wenn Kontrolldaten in einen Datensatz aufgenommen werden (bewusst unzutreffende, eindeutig wiederzuerkennende Daten, die der Kontrolle dienen, ob nach
(2011); vgl. hierzu auch: Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 174, 179; im Ergebnis ebenso: Redeker, CR 1989, 794, 796.
58
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
Beendigung eines Vertragsverhältnisses ein Datensatz weitergenutzt wird) und eine entsprechende Vereinbarung im Vertrag fehlt. Ist bei Gefahrübergang absehbar, dass die Daten aufgrund datenschutzrechtlicher Verpflichtungen ab einem bestimmten Zeitpunkt nicht mehr verarbeitet werden, z. B. weil der Grundsatz der Speicherbegrenzung dies ab einem bestimmten Zeitpunkt untersagt, oder die Zweckbindung der Daten den vom Datenerwerber angestrebten Verarbeitungszweck nicht erfasst, liegt ein Rechtsmangel vor, sofern diese Situation vertraglich nicht adressiert ist. Insgesamt ist hier insofern eine vorausschauende Vertragsgestaltung erforderlich. Weiter ist denkbar, dass zu wenig Daten geliefert werden und dies eine Mangelhaftigkeit des Datensatzes begründet. e) Kosten für Datenschutzkonformität Übt der Betroffene seine Betroffenenrechte aus und entstehen dem 50 Gläubiger der Daten insbesondere in zeitlich begrenzten Dauerschuldverhältnissen hierdurch Kosten, so hat der Datenschuldner diese nicht zu ersetzen. Gem. Art. 15 DSGVO etwa ist der Betroffene über die Verarbeitung der ihn betreffenden personenbezogenen Daten in der Regel unentgeltlich zu beauskunften. Diese Pflicht trifft jeden für die Datenverarbeitung Verantwortlichen und damit auch den Datengläubiger. Eine Erstattung, etwa nach den Regelungen über die Geschäftsführung ohne Auftrag, scheitert daher, weil es sich nicht um ein Geschäft des Datenschuldners handelt, sondern um ein eigenes Geschäft des Datengläubigers. Gleiches gilt auch für Kosten, die dem Datengläubiger entstehen, um seinen übrigen datenschutzrechtlichen Verpflichtungen nachzukommen, etwa dem Grundsatz der Speicherbegrenzung durch regelmäßige aktive Prüfung der Daten auf eine Speichererforderlichkeit. Ohne entsprechende vertragliche Vereinbarung sind auch diese nicht ersatzfähig. f) Pflichten bei Beendigung eines zeitlich begrenzten Datenüberlassungsvertrags Bei Beendigung des Vertrages hat der vormals zur Datennutzung Be- 51 rechtigte die Daten zurückzugeben. Ausreichend sein wird regelmäßig ihre Löschung. Dies hat er entsprechend nachzuweisen, wenn die Parteien eine diesbezügliche Klausel im Vertrag vereinbart haben, was zu empfehlen ist. Setzt der vormals Berechtigte nach Ablauf der Vertragsdauer den Gebrauch der Daten fort, so verlängert sich das Vertragsverhältnis auf unbestimmte Zeit gem. § 545 BGB. Auch kann der vormalige Datenschuldner dann, wenn die personenbezogenen Daten nicht gelöscht werden, für die Dauer der Nichtlöschung eine Entschä59
Louisa Specht
digung verlangen, § 584b BGB. Dieser vertragliche Anspruch eigener Art tritt im Pachtvertragsrecht an die Stelle der mietrechtlichen Vorschrift des § 546a BGB und gilt auch für unkörperliche Gegenstände69. Allerdings begrenzt sich hier die Ersatzpflicht des vormals berechtigten Datennutzers auf das Verhältnis, „in dem die Nutzungen, die der Pächter während dieser Zeit gezogen hat oder hätte ziehen können, zu den Nutzungen des ganzen Pachtjahrs stehen.“ Für personenbezogene Daten werden die Nutzungen regelmäßig nur schwer zu berechnen sein, weshalb im Falle einer gesetzlichen Ausgestaltung des Datenschuldrechts eine Regelung entsprechend § 546a BGB vorzugswürdig erscheint. Die Kosten für die Erfüllung möglicher Aufbewahrungs- und Archivierungspflichten hat jede der Vertragsparteien zu tragen, der die Aufbewahrungspflicht gesetzlich obliegt. g) Weiterer Regelungsbedarf im sekundären Datenmarkt 52 Auch der sekundäre Datenmarkt ließe sich entsprechend den dargelegten Grundsätzen ausgestalten, wobei hier der Regulierungsbedarf deutlich geringer ausfällt als im primären Datenmarkt. Denkbar scheinen für den sekundären Datenmarkt Standardvertragsklauseln, die sich an Know-How-Verträgen orientieren könnten. Denn sowohl Daten als auch Know-How ist es immanent, dass sie keiner eigentums- bzw. eigentumsähnlichen Rechtsposition unterliegen. Auf die umfangreich entwickelte Vertragspraxis bei der Überlassung von Know-How könnte daher für die Entwicklung von Standardvertragsklauseln für Datenüberlassungsverträge im sekundären B2B-Datenmarkt zurückgegriffen werden. Gleichzeitig ist freilich den in diesem Abschnitt beschriebenen Besonderheiten, die sich aus dem Personenbezug der im sekundären Datenmarkt überlassenen Daten ergeben, Rechnung zu tragen. 4. Bereicherungsrechtlicher Zuweisungsgehalt personenbezogener Daten 53 Die faktische Herrschaftsposition über Daten lässt sich als Vermögenswert erachten, der über das Bereicherungsrecht kondiktionsfähig ist (Leistungskondiktion)70. Werden personenbezogene Daten zwangskommerzialisiert, werden sie z. B. zur Erzielung von Einnahmen eines Dritten verwendet, kommt auch eine Eingriffskondiktion in Betracht. Für das Recht am eigenen Bild sind Ansprüche aus Eingriffskondiktion im 69 Harke in MüKo BGB, 7. Aufl. 2016, § 584b BGB Rz. 1. 70 Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht zur Frage des „Eigentums“ an Daten und Informationen, Stellungnahme 75/2016, S. 7.
60
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
Falle der Zwangskommerzialisierung anerkannt, dem Recht am eigenen Bild ist insofern auch ein bereicherungsrechtlicher Zuweisungsgehalt zugesprochen71. Ob dies auch für andere Persönlichkeitsdetails gelten kann, ist zwar streitig72, maßgeblich sollte es hier aber darauf ankommen, ob die persönlichkeitsrechtlich determinierten Güter einer kommerziellen Verwertung zugänglich sind73. Hat der Einzelne die Freiheit, über die Verwertung seiner Persönlichkeit zu bestimmen, kann er diese Bestimmung auch von der Zahlung eines Entgelts abhängig machen74. V. Modifikations-/bzw. Spezifizierungsbedarf des Datenschutzrechts (These 3.2) Das Datenschutzrecht ist freilich in erster Linie ein Schutzinstrument 54 zugunsten des Betroffenen und die Ausgestaltung eines Datenschuldrechts zielt in erster Linie darauf ab, dieses hohe datenschutzrechtliche 71 BGH v. 8.5.1956 – I ZR 62/54, GRUR 1956, 427 – Paul Dahlke; vgl. auch: BGH v. 26.10.2006 – I ZR 182/04, GRUR 2007, 139; vgl. hierzu eingehend: Hermann, Der Werbewert der Prominenz, 2012. 72 Mestmäcker, JZ 1958, 521, 525; Raiser, JZ 1961, 465, 470 f.; Wendehorst in BeckOK BGB, 44. Ed. (Stand: 1.11.2017), § 812 BGB Rz. 130; Hubmann, Das Persönlichkeitsrecht, 1967, S. 361 ff.; Hubmann, UFITA 39 (1963), 223 ff.; Schwerdtner, Das Persönlichkeitsrecht in der deutschen Zivilrechtsordnung, 1977, S. 241 ff.; v. Sachsen Gessaphe in NK-BGB, 3. Aufl. 2016, § 812 BGB Rz. 86; Canaris, Gewinnabschöpfung bei Verletzung des allgemeinen Persönlichkeitsrechts, in: Ahrens/von Bar/Fischer/Spickhoff/Taupitz, Festschrift für Erwin Deutsch zum 70. Geburtstag, 1999, S. 85, 88 m.w.N.; Funkel, Schutz der Persönlichkeit durch Ersatz immaterieller Schäden in Geld, 2001, S. 168 ff.; Kläver, Bereicherungsrechtliche Ansprüche bei einer Verletzung des Persönlichkeitsrecht, 1999, S. 61 ff.; Klüber, Persönlichkeitsschutz und Kommerzialisierung, 2007, S. 122 f.; Schlechtriem, Bereicherung aus fremdem Persönlichkeitsrecht, in: Fischer/Gessler/Schilling, Strukturen und Entwicklungen im Handels-, Gesellschafts- und Wirtschaftsrecht: Festschrift für Wolfgang Hefermehl zum 70. Geburtstag, 1976, S. 445, 449 ff.; Siemes, AcP 201 (2001), 202, 219 ff.; Balthasar, NJW 2007, 664. 73 V. Sachsen Gessaphe in NK-BGB, 3. Aufl. 2016, § 812 BGB Rz. 86; Canaris, Gewinnabschöpfung bei Verletzung des allgemeinen Persönlichkeitsrechts, in: Ahrens/von Bar/Fischer/Spickhoff/Taupitz, Festschrift für Erwin Deutsch zum 70. Geburtstag, 1999, S. 85, 88; Funkel, Schutz der Persönlichkeit durch Ersatz immaterieller Schäden in Geld, 2001, S. 173 ff.; Kläver, Bereicherungsrechtliche Ansprüche bei einer Verletzung des Persönlichkeitsrecht, 1999, S. 61 ff.; Klüber, Persönlichkeitsschutz und Kommerzialisierung, 2007, S. 122 f.; Prütting in Prütting/Wegen/Weinreich, BGB, 12. Aufl. 2017, § 812 BGB Rz. 62; Siemes, AcP 201 (2001), 202, 219 ff. 74 Schwab in MüKo BGB, 7. Aufl. 2017, § 812 BGB Rz. 313; für einen bereicherungsrechtlichen Zuweisungsgehalt von personenbezogenen Daten: SchmidtKessel/Grimm, ZfpW 2017, 84, 105.
61
Louisa Specht
Niveau angemessen auch dort abzubilden, wo die datenschutzrechtliche Einwilligung in einem zivilrechtlichen Vertrag erklärt wird. In einer zunehmend datengetriebenen Wirtschaft aber muss ein angemessener Ausgleich zwischen Datenschutzinteressen und Datenverarbeitungsinteressen gefunden werden. Hier ist festzustellen, dass gerade datengetriebene Geschäftsmodelle de lege lata auf sehr unsicherer Rechtsgrundlage agieren. Für politisch und gesellschaftlich gewünschte Geschäftsmodelle kann dies nicht das Ziel sein. De lege lata droht bei unzureichender Informationsvermittlung die Unwirksamkeit der Einwilligung und eine gesetzliche Erlaubnis wird jedenfalls für Daten, die für die Vertragserfüllung nicht erforderlich sind, in der Regel lediglich nach umfassender Abwägung der Datenverarbeitung im Einzelfall gewährt, Art. 6 Abs. 1 lit. f DSGVO. Gleichzeitig beklagen die Betroffenen zu Recht eine Informationsüberlastung durch die z. T. sehr umfangreichen Datenschutzerklärungen. Die Rechtssicherheit, die durch gesetzliche Normierung datenschutzrechtlicher Spezifika im Vertragsrecht erreicht werden soll, kann insofern durch die Rechtsunsicherheit, die das Datenschutzrecht selbst in sich trägt, konterkariert werden. Die Normierung eines Datenschuldrechts sollte daher in Kombination mit einer partiellen Modifikation bzw. Präzisierung des Datenschutzrechts gedacht werden. Will man den Gesetzestext nicht antasten, kommt etwa die Ausarbeitung von Leitlinien zur Abwägung i. R. d. Art. 6 Abs. 1 lit. f DSGVO in Betracht75. Auch ein Erlaubnistatbestand ähnlich § 44a UrhG bzw. Art. 5 Abs. 1 InfoSoc-Richtlinie für Geschäftsmodelle, die zwar personenbezogene Daten erheben, diese aber sogleich anonymisieren, scheint empfehlenswert76. Für die datenschutzrechtliche Informationsvermittlung scheint eine Kombination aus Informationsvisualisierung und Einwilligungsassistenten gewinnbringend77. Für die derzeit im Entwurf vorliegende E-Privacy Verordnung, die die Regelungen der Datenschutzgrundverordnung ergänzen soll, die aber gleichzeitig sowohl für personenbezogene als auch für nicht personenbezogene Daten gilt, bleibt zu wünschen, dass sie die Fehler der Datenschutzgrundverordnung nicht wiederholt und im Falle offener Abwägungstatbestände zumindest gleichzeitig entsprechende Abwägungsleitlinien, z. B. in den Erwägungsgründen, bereithält.
75 Vgl. hierzu bereits: Specht, GRUR Int. 2017, 1040, 1047. 76 Vgl. hierzu bereits umfassend: Specht, GRUR Int. 2017, 1040, 1047. 77 Hierzu näher: Specht/Bienemann in: Specht/Werry/Werry, Handbuch Datenrecht in der Digitalisierung, im Erscheinen.
62
Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit
VI. Zusammenfassung und Ausblick Die vertragsrechtliche Disposition über Daten ist bereits de lege lata 55 durchaus möglich. Wird allerdings vertraglich über personenbezogene Daten disponiert, stellt sich die Frage, wie die miteinander kollidierenden Prinzipien von Privatautonomie und datenschutzrechtlichem Verbotsprinzip miteinander in Einklang gebracht werden können. Soll die Entscheidung über das Ob und Wie einer Integration datenschutzspezifischer Vorgaben in das Vertragsrecht nicht der Rechtsprechung überlassen werden, ist die gesetzliche Ausgestaltung eines Datenschuldrechts erforderlich. Als Eckpfeiler ließen sich die vertraglichen Verpflichtungen der Parteien normieren, was vor allem auf dem primären Datenmarkt erforderlich scheint. Normiert werden sollten außerdem die Rechtsfolgen eines Einwilligungswiderrufs sowie einer Unwirksamkeit der Einwilligung aufgrund nicht ausreichender Informationsvermittlung. Auch die Frage der (fehlenden) Durchsetzbarkeit, Klagbarkeit oder Vollstreckbarkeit des vertraglich entstehenden Anspruchs auf Erklärung der datenschutzrechtlichen Einwilligung bedarf einer gesetzgeberischen Wertung. Andere Aspekte wie die Anwendbarkeit des Koppelungsverbotes bei 56 einer als Gegenleistung im Vertrag geschuldeten Einwilligung, die Frage der Stellvertretung, der Anwendbarkeit von Verbraucherschutzvorschriften etc. erfordern zwar nicht notwendigerweise eine konkrete gesetzliche Regelung, der Gesetzgeber sollte aber dort, wo er von einer Regulierung absieht, jedenfalls begründen, weshalb und inwieweit er den primären Datenmarkt von bereits existierenden Normen erfasst bzw. nicht erfasst sieht. Eine Regelung zur angemessenen Vergütung der Betroffenen im Falle der Verwertung ihrer Daten scheint vor dem Hintergrund der voraussichtlichen unternehmensseitigen Einpreisung dieser Kosten in ihr Angebot der spezifischen Leistung sowie aufgrund falscher Anreizwirkungen nicht empfehlenswert. In Anbetracht der unionsrechtlichen Determination des Datenschutz- 57 rechts wäre eine Regulierung auf unionsrechtlicher Ebene sicherlich wünschenswert – nicht zuletzt der gescheiterte Entwurf eines Gemeinsamen Europäischen Kaufrechts verdeutlicht aber, wie schwer eine unionsweite Harmonisierung des Vertragsrechts sein würde, und sei es auch nur für den spezifischen Bereich des Datenschuldrechts. Darüber hinaus stellen sich spezifische Fragen des hier entworfenen Datenschuldrechts auch und gerade aufgrund des Abstraktions- und Trennungsprinzips, das ohnehin eine Diversifizierung des Datenschuldrechts zwischen den einzelnen Mitgliedstaaten nach sich ziehen würde. Die Normierung eines Datenschuldrechts ließe sich daher wohl eher auf nationaler Ebene realisieren, wobei freilich die unionsrechtlichen Vorgaben v. a. der Datenschutzgrundverordnung zu beachten sind. 63
Louisa Specht
58 Auf dem sekundären Datenmarkt scheint die Normierung von Standardvertragsklauseln gewinnbringend, bei deren Entwicklung Anklang genommen werden könnte am Know-How Vertrag, wobei auch hier die spezifischen Vorgaben des Datenschutzrechts abzubilden sind. Bei all dem wäre es zu wünschen, dass die Normierung eines Datenschuldrechts Hand in Hand geht mit einer partiellen Präzisierung des Datenschutzrechts.
64
Zur Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen bei Verwendung von Drittanbietersoftware Analyse der grundsätzlichen Probleme und deren Auswirkungen in vier Fallgruppen Axel Metzger/Peter Hoppen* I. Begriffsbestimmung und Ausgangssituation 1. Pooling oder Multiplexing 2. Erweiterung des Begriffs „Nutzung“ a) Reiner Datenzugriff auf Datenbankebene b) Daten-Objekte als Benutzer 3. Verhältnis zur Interoperabilität II. Vervielfältigungen bei indirekter Nutzung 1. Modularer und mehrschichtiger Aufbau von Software 2. Kategorien von Vervielfältigungen a) Erneutes Ablaufenlassen b) Erneute Vervielfältigung c) Zusätzliche Vervielfältigung d) Gesonderte Software-Installation 3. Folgen III. Fallgruppe 1: Die Drittanbietersoftware wirkt über Schnittstellen mit der ERP-Software zusammen 1. Urheberrecht a) Vervielfältigung gem. § 69c Nr. 1 UrhG b) Bestimmungsgemäße Benutzung gem. § 69d Abs. 1 UrhG
aa) Objektive Komponente bb) Vertragliche Komponente und zwingender Kern 2. Kartellrecht a) Missbrauch einer marktbeherrschenden Stellung gem. Art. 102 AEUV b) Verbotenes Verhalten von marktbeherrschenden Unternehmen gem. § 19 GWB c) Wettbewerbswidrige Vereinbarungen gem. Art. 101 AEUV d) Wettbewerbswidrige Vereinbarungen gem. § 1 GWB 3. Vertragsrecht: Verstoß gegen AGBVorschriften IV. Fallgruppe 2: Die Drittanbietersoftware enthält schutzfähigen Code des ERP-Programms 1. Urheberrecht a) Schutzfähige Teile eines Computerprogramms gem. § 69a UrhG b) Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung gem. § 69c UrhG c) Bestimmungsgemäße Benutzung gem. § 69d Abs. 1 UrhG
* Prof. Dr. Axel Metzger, LL.M. (Harvard) ist Inhaber des Lehrstuhls für Bürgerliches Recht und Immaterialgüterrecht, insbesondere Gewerblicher Rechtsschutz an der Humboldt-Universität zu Berlin / Dr.-Ing. Peter Hoppen ist Dipl.-Informatiker und als öffentlich bestellter und vereidigter IT-Sachverständiger bei Streitz Hoppen & Partner tätig.
65
Axel Metzger/Peter Hoppen 2. Kartellrecht a) Missbrauch einer marktbeherrschenden Stellung gem. Art. 102 AEUV und § 19 GWB b) Wettbewerbswidrige Vereinbarungen gem. Art. 101 AEUV und § 1 GWB 3. Vertragsrecht: Verstoß gegen AGB-Vorschriften V. Fallgruppe 3: Rückgriff auf ERPProgrammbestandteile während der Runtime 1. Urheberrecht a) Schutzfähige Teile eines Computerprogramms gem. § 69a UrhG b) Vervielfältigung gem. § 69c Nr. 1 UrhG c) Bearbeitung oder Umarbeitung gem. § 69c Nr. 2 UrhG
d) Bestimmungsgemäße Benutzung gem. § 69d Abs. 1 UrhG 2. Kartellrecht 3. Vertragsrecht: Verstoß gegen AGB-Vorschriften VI. Fallgruppe 4: Reiner Datenbankzugriff 1. Urheberrecht a) Vervielfältigung gem. § 69c Nr. 1 UrhG b) Vervielfältigung der Daten gem. §§ 16 Abs. 1 und 87b Abs. 1 UrhG 2. Kartellrecht 3. Vertragsrecht: Verstoß gegen AGB-Vorschriften VII. Fazit und Ausblick auf die Rechtsdurchsetzung
1 Anbieter von ERP-Programmen stellen in der jüngeren Lizenzierungspraxis zunehmend darauf ab, den Betrieb von Anwendungsprogrammen anderer Anbieter (Third-Party-Applications, nachfolgend als Drittanbietersoftware bezeichnet) als „indirekte Nutzung“ ihrer eigenen Produkte zu qualifizieren und hieran Forderungen nach erhöhten Lizenzgebühren zu knüpfen. Dies kann im Ergebnis zu Nachlizenzierungsforderungen der ERP-Anbieter bei den Lizenznehmern führen. Zudem besteht in vielen Fällen Unsicherheit über die Lizenzierungserfordernisse, die erst in Lizenzaudits thematisiert werden. Diese Lizenzierungspraxis hat in der jüngeren Vergangenheit zu erheblichen Spannungen zwischen ERP-Anbietern, Anbietern von Drittanbietersoftware (Third-Party-Applications) und Endkunden geführt, weil die ERP-Anbieter oftmals überraschend für Drittanbieter und Endkunden erhebliche Lizenzforderungen stellen. Diese können die Verwendung von Drittanbietersoftware für den Endkunden erheblich verteuern und im Extremfall unwirtschaftlich werden lassen. Erste Stellungnahmen in der Literatur setzen sich zum Teil kritisch mit der Lizenzpraxis der indirekten Nutzung auseinander. Dagegen hat der High Court in England im Februar 2017 in SAP v. Diageo (CRi 2017, 54) in einer speziellen Fallgestaltung dem ERP-Anbieter einen Lizenzgebührenanspruch wegen nicht lizenzierter indirekter Nutzungen zugesprochen, wobei das Gericht nur vertragsrechtliche Ansprüche, nicht 66
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
aber die Wirksamkeit entsprechender Vertragsregelungen nach dem Urheber- und Kartellrecht geprüft hat. Der folgende Beitrag1 beschreibt die technischen Grundlagen und den 2 Ausgangssachverhalt in solchen Fällen und definiert Fallgruppen, in denen die Rechtslage unterschiedlich zu beurteilen ist. Dabei werden Aspekte des Urheberrechts, des Kartellrechts und des Vertragsrechts (AGBs) betrachtet. Die Rechtsfragen der indirekten Nutzung werden am Beispiel von ERP-Programmen untersucht, weil die bisherigen Konflikte in der Rechtspraxis vielfach diese Programme betreffen. Die gleichen Rechtsfragen können sich aber auch bei der Kombination anderer Programme ergeben, etwa wenn die indirekte Nutzung von Betriebssystemen, CMSProgrammen oder Datenbanken durch entsprechende Lizenzgestaltungen eingeschränkt wird. I. Begriffsbestimmung und Ausgangssituation Indirekte Nutzung einer Software liegt dann vor, wenn der Zugriff auf 3 eine lizenzierte Software über ein externes, vor- oder zwischengeschaltetes System erfolgt2. Einige Softwareanbieter berufen sich auch dann auf indirekte Nutzung, wenn Drittanbietersoftware in der Betriebsumgebung des ERP-Systems zur Ausführung kommt und Programmfunktionalität der ERP-Software zur Ausführung bringt. 1. Pooling oder Multiplexing Ein Lizenzierungsproblem stellt sich im Grunde schon so lange, wie Soft- 4 ware nutzerbasiert lizenziert wird. Bei anderen Lizenzmetriken (bspw. Prozessorlizenzierung oder transaktionsbasierte Lizenzierung) stellt sich das Problem nicht. In der Vergangenheit wurde schon immer versucht, Verbindungen gegenüber dem lizenzierten System zusammenzufassen, um Benutzerlizenzen einzusparen, beispielsweise beim Zugriff auf Datenbanksysteme. Das Ziel der Anwender war dabei eindeutig Lizenzkosten zu sparen. Dies sei an folgendem einfachen Beispiel verdeutlicht: Auf eine Datenbank greifen 100 Personen direkt zu und 3.000 Lieferanten über ein Web-Portal. Das Web-Portal meldet sich aber an der Datenbank nur einmal an und hält diese Verbindung anschließend andauernd, während die Datenbank von beliebigen Lieferanten genutzt wird. Nach
1 Der Beitrag basiert auf einem Gutachten. 2 Siehe zum Folgenden auch die ersten kritischen Stellungnahmen in der Literatur von Oehlschlägel/Schmidt, ITRB 2015, 72; Redeker, ITRB 2017, 44 sowie zuletzt Grützmacher, ITRB 2017, 141 und Barnitzke, K&R 2018, 455.
67
Axel Metzger/Peter Hoppen
den Vorstellungen des Datenbank-Herstellers und dessen Lizenzbedingungen sind 3.100 Zugriffslizenzen zu erwerben und nicht etwa nur 1013. 5 Die Softwarehersteller bezeichneten solche Konstellationen ursprünglich als Pooling oder Multiplexing und nahmen Klauseln in ihre Lizenzverträge auf, nach denen solche Zusammenfassungen untersagt sind. Damit begegnete man offensichtlichem Missbrauch. Vertragliche Regeln, die sich gegen solche Umgehungslösungen richten, wurden im Markt akzeptiert und haben sich mittlerweile allgemein durchgesetzt. Man sprach in den Lizenzverträgen von mittelbarer oder indirekter Nutzung. 2. Erweiterung des Begriffs „Nutzung“ 6 Im Laufe der Jahre wurde das Lizenzierungskonzept indirekter Nutzung aber von den Softwareanbietern auf möglichst viele weitere Formen eines Zugriffs über Drittsoftware oder externe Systeme ausgedehnt. Teilweise wird der Begriff indirekte Nutzung in den Lizenzvertragstexten mittlerweile gar nicht mehr herangezogen; stattdessen wird der Nutzungsbegriff abstrakt ausgeweitet, weit über die Nutzungskategorien des § 69c Nr. 1 UrhG hinausgehend. a) Reiner Datenzugriff auf Datenbankebene 7 Bei einer dreischichtigen Architektur (Clients, Applikationsserver und Datenbankserver), wie sie heute bei kaufmännischen Anwendungssystemen, etwa ERP-Systemen, üblich ist, kann der indirekte Zugriff prinzipiell auf allen drei Ebenen stattfinden. Dabei sind technisch viele Varianten denkbar. Einzelne Anbieter berufen sich sogar dann auf eine „Nutzung“ ihrer Software, wenn Daten, die aus der Nutzung von Funktionen ihrer Software hervorgehen, in anderen Systemen angezeigt werden. Damit sind nach der Vorstellung des ERP-Anbieters sogar dann weitere Nutzerlizenzen erforderlich, wenn ein externes System unter Umgehung des ERP-Systems (Client bzw. Applikationsserver) direkt auf den darunterliegenden Datenbankserver (der von einem anderen Lizenzgeber stammt) zugreift, bei dem solche Zugriffe möglicherweise wegen separater Lizenzierung zulässig sind. Dabei ist es so, dass bei dieser Form einer Nutzung überhaupt keine Vervielfältigungen der lizenzierten ERPSoftware stattfinden. Der Zugriff wäre sogar möglich, wenn das ERP-System (Clients und Applikationsserver) ausgeschaltet wäre. Hier ist also 3 Eine ähnliche Fallgestaltung lag der Entscheidung SAP v. Diageo, [2017] EWHC 189 (TCC) (High Court), CRi 2017, 54 zugrunde. Hierzu ausführlich Day/ De Silva, CRi 2017, 34.
68
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
nicht mehr ersichtlich, woraus überhaupt Rechte für die Lizenzpflicht einer indirekten Nutzung der ERP-Software abgeleitet werden. Wenn solche Zugriffe unter Verweis auf das Urheberrecht und einer weiten Auslegung des Nutzungsbegriffs als von der Einwilligung des ERP-Anbieters abhängig dargestellt werden, führt dies zu einem Lock-In-Effekt. Der Anwender ist nicht mehr Herr seiner eigenen Daten4. b) Daten-Objekte als Benutzer Ein weiteres Szenario sei am Beispiel von Zeiterfassungs-Systemen be- 8 schrieben. 300 Mitarbeiter erfassen täglich ihre Kommt-Geht-Zeiten über fünf elektronische Zeiterfassungsterminals, die an eine externe Zeiterfassungs-Software angeschlossen sind. Jedes Terminal der Zeiterfassungs-Software überträgt seine Daten stündlich an das ERP-System. An dem ERP-System arbeiten außerdem aktiv 50 User, die per User-Lizenz lizenziert sind. Nach den Vorstellungen des ERP-Anbieters werden alle 300 Mitarbeiter als lizenzpflichtige User des ERP-Systems qualifiziert, weil sie ihre Kommt-Geht-Zeiten indirekt über das Zeiterfassungssystem an das ERP-System übertragen und dadurch – nach den Vorstellungen des ERP-Anbieters – das ERP-System indirekt nutzen würden. Dabei kommen sie mit dem ERP-System überhaupt nicht in Kontakt. Bemerkenswert ist aus technischer Sicht in solchen Fällen, dass faktisch Daten-Objekte (also hier bspw. die Personalnummer in einer Kommt/ Geht-Zeitmeldung) als User der Software angesehen werden. Wenn die Kommt-Geht-Zeiten der 300 Mitarbeiter von bereits lizenzierten Usern in der Personalabteilung direkt in dem System erfasst würden, wären nur die 50 direkten User zu lizenzieren. Es ergeben sich also zusätzliche Lizenzforderungen, je nachdem, wie die Daten in das System gelangen. Die Datenverarbeitungsprozesse und die Vervielfältigungen der Software, die stattfinden, sind in beiden Fällen identisch. 3. Verhältnis zur Interoperabilität Die Lizenzforderungen der Anbieter wegen indirekter Nutzung sind 9 insofern grundsätzlich kritisch zu sehen und auch unter wettbewerbsrechtlichen Aspekten zu hinterfragen, als dass Interoperabilität von Softwaresystemen wettbewerbsrechtlich gewünscht5 und in der Unter-
4 Vgl. hierzu Grützmacher, CR 2016, 485 zum Dateneigentum: „Vendor Lock-In Effekt bei Schutz von Datenformaten.“ 5 Computerprogramm-Richtlinie 2009/24/EG, Erw. 10: Die Funktion von Computerprogrammen besteht „darin, mit den anderen Komponenten eines Computersystems und den Benutzern in Verbindung zu treten.“ Siehe auch Erw. 15.
69
Axel Metzger/Peter Hoppen
nehmenspraxis wirtschaftlich unumgänglich ist. Wenn jeder Anbieter sämtliche Nutzer der vor- oder nachgelagert über Schnittstellen angebundenen Systeme mit dem Argument der indirekten Nutzung lizenzieren möchte, wären in der Konsequenz sämtliche Personen, die mit irgendeinem System in Berührung kommen, wechselseitig in allen Systemen zu lizenzieren. Die Kosten steigen dann bei allen Systemen; die Kombination von Systemen unterschiedlicher Hersteller wird zu teuer. Drittanbietersoftware, die mit ERP-Systemen kommuniziert, ist dann bei lediglich vergleichbarer Funktionalität der Software des ERP-Anbieters nicht wirtschaftlich vermarktbar, sondern nur noch bei deutlichen Alleinstellungsmerkmalen. Der Nutzen von Drittanbietersoftware wird dabei zu einem erheblichen Teil von dem ERP-Anbieter durch die Lizenzen für indirekte Nutzung abgeschöpft; der Drittanbieter kann nur den darüberhinausgehenden Nutzen pro User abschöpfen. Das Anwenderunternehmen kann dem nur entrinnen, indem es einheitliche Software eines ERP-Anbieters einsetzt. Es ergibt sich ein Vendor Lock-In. Systeme von Drittanbietern werden verdrängt, Wettbewerb und Innovation werden verhindert. 10 Dabei ist Interoperabilität schon immer ein Grundprinzip der Datenverarbeitung gewesen6. Das Denkmodell einer direkten Nutzung, bei der menschliche Personen an den Schnittstellen agieren, ist nicht mehr zeitgemäß. Die Ein- und Ausgabe in ERP-Systeme über Schnittstellen (indirekte Nutzung) ist heutzutage üblich, aufgrund von Wirtschaftlichkeitszwängen nötig und steigt zwingend mit zunehmendem Automatisierungsgrad und zunehmender Vernetzung der Geschäftsprozesse. Die Notwendigkeit, Software eng vernetzt einsetzen und über Schnittstellen ansprechen zu können, ist deswegen eine ganz normale Anforderung an fast jede Software. Heutige Software ist demgemäß auch fast immer darauf ausgerichtet, mit anderen Softwareprogrammen zu interagieren. II. Vervielfältigungen bei indirekter Nutzung 11 Urheberrechtliche Betrachtungen, die in Kapitel III angestellt werden, knüpfen an den Tatbestand einer Vervielfältigung des geschützten Programmcodes (Quell- oder Objektcode) an. Zunächst sei deswegen hier eine (knappe) Betrachtung dieses Vervielfältigungsprozesses aus technischer Sicht vorangestellt.
6 Früher wurde dies als EVA-Prinzip bezeichnet, wobei E für Eingabe, V für Verarbeitung und A für Ausgabe steht.
70
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
1. Modularer und mehrschichtiger Aufbau von Software Software ist heute modular und mehrschichtig aufgebaut und wird nie- 12 mals komplett in den Arbeitsspeicher geladen. Geladen wird zunächst nur ein Start-Modul und dann sukzessive, je nach angesprochener Funktionalität, weiterer Objekt-Code. Vervielfältigungen können auf jeder Ebene stattfinden7. Zudem besteht Software heute in der Regel aus vielen, teilweise sehr unabhängigen Komponenten. Jede Komponente ist für sich zu betrachten. 2. Kategorien von Vervielfältigungen Man kann verschiedene Kategorien von Vervielfältigungen bei der Soft- 13 warenutzung unterscheiden: a) Erneutes Ablaufenlassen Erstens können Softwarekomponenten, die für die Ausführung einer in- 14 direkt genutzten Funktion der Software zuständig sind, schon vollständig in den Arbeitsspeicher geladen sein, so dass nur ein erneutes Ablaufenlassen vorliegt8. Davon ist mit hoher Wahrscheinlichkeit bei den Basiskomponenten eines ERP-Systems9 und solchem Programmcode auszugehen, der die direkt genutzte fachliche Funktionalität implementiert. Die Vervielfältigungen solchen Programmcodes sind auch bei bestimmungsgemäßem (direkten) Gebrauch der lizenzierten Software notwendig. Deswegen wird dieser Programmcode im Moment der indirekten Nutzung mit hoher Wahrscheinlichkeit schon wegen der direkten Nutzung in den Arbeitsspeicher geladen worden sein. b) Erneute Vervielfältigung Es kann allerdings auch zu einer erneuten Vervielfältigung der Kompo- 15 nenten kommen. Bei größeren ERP-Installationen werden heute mehrere parallel arbeitende Applikationsserver eingesetzt. Dabei kann es vorkommen, dass eine indirekt genutzte Funktion neu in den Arbeitsspeicher eines Servers geladen wird (also insofern vervielfältigt wird), aber 7 Beispielsweise gibt es bei SAP einen technischen Layer (SAP Netweaver), die fachliche Funktionalität (in ABAP oder Java programmiert und auf SAP Netweaver ausgeführt) und ggf. spezielle Schnittstellen-Module. 8 Vgl. Marly, Praxishandbuch Softwarerecht, 6. Aufl., München 2014, Rz. 157 f.: Wenn das Programm bereits in den Arbeitsspeicher geladen ist, so stellt das bloße Ablauflassen keine erneute zustimmungsbedürftige Handlung dar. 9 Technischer Layer, bei einem SAP-System etwa SAP Netweaver.
71
Axel Metzger/Peter Hoppen
in gleicher Weise wegen direkter Nutzung schon in den Arbeitsspeicher eines anderen Servers geladen wurde. Es kann auch sein, dass Programmcode von dem Betriebssystem nur deswegen temporär aus dem Arbeitsspeicher ausgelagert wurde, weil er eine Zeitlang nicht genutzt wurde und deswegen neu vervielfältigt werden muss (Speichermanagement, Multi-Server). Hierbei handelt es sich um rein technische Vorgänge; es liegt lediglich eine erneute Vervielfältigung vor. Es finden keine anderen Vervielfältigungen statt, als sie bei direkter Nutzung auch stattfinden könnten. Es wird nur solcher Programmcode vervielfältigt, zu dessen Vervielfältigung der rechtmäßige Nutzer ohnehin berechtigt ist. c) Zusätzliche Vervielfältigung 16 Bei der indirekten Nutzung kann es jedoch auch zu zusätzlichen Vervielfältigungen kommen. Dieser Fall liegt vor, wenn die Software-Komponente bzw. ein relevantes Codefragment zwar mit der Software auf der Festplatte installiert wurde, aber erstmalig wegen der indirekten Nutzung in den Arbeitsspeicher übertragen (also vervielfältigt) wird und bei ausschließlich händischer, direkter Bedienung der Software niemals in den Arbeitsspeicher übertragen würde. Dies ist mit hoher Wahrscheinlichkeit bei Schnittstellenfunktionen der Software oder anderen Programm-Modulen der Fall, die bei direkter Nutzung nicht ausgeführt werden10. d) Gesonderte Software-Installation 17 Schließlich kann es auch erforderlich sein, Softwarekomponenten gesondert zu installieren. Diese Konstellation liegt vor, wenn die indirekte Nutzung der Software erst dann möglich wird, wenn zuvor spezielle Software-Komponenten (etwa Schnittstellen-Programme) zusätzlich installiert wurden. Hier findet eine Vervielfältigung bei der Installation statt. 3. Folgen 18 Zusammenfassend ist festzustellen: Indirekte Nutzung kann zusätzliche Vervielfältigungsprozesse in Gang setzen, muss dies aber nicht. Die Frage ist letztlich immer im Einzelfall zu betrachten, wobei die Analyse sehr komplex werden kann. Zu beachten ist auch, dass sich die Verhältnisse bei gleichem Sachverhalt, aber unterschiedlicher Systemkonfiguration unterschiedlich darstellen können.
10 Obgleich Schnittstellen-Code häufig auch intern in der Software schon im Rahmen der direkten Nutzung vervielfältigt wird (bspw. SAP RFC).
72
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
Im Folgenden werden die Rechtsprobleme indirekter Nutzung am Beispiel von ERP-Programmen durchgespielt. Dabei bietet es sich an, verschiedene Fallgruppen zu unterscheiden. Die einzelnen Fallgruppen unterscheiden sich anhand des technischen Zusammenwirkens des ERP-Programms und der Drittanbietersoftware. Dies wirkt sich auf die Zulässigkeit von Beschränkungen der indirekten Nutzung durch den ERP-Anbieter aus. Im Folgenden werden jeweils Urheber-, Kartell- und Vertragsrecht betrachtet. III. Fallgruppe 1: Die Drittanbietersoftware wirkt über Schnittstellen mit der ERP-Software zusammen Die Drittanbietersoftware wirkt über Schnittstellen mit der ERP-Soft- 19 ware zusammen, ohne selbst schutzfähigen Code des ERP-Programms zu enthalten. Auch während der Runtime handelt es sich um zwei unabhängig nebeneinander stehende Programme. Die Drittanbietersoftware bezieht keine Funktionen oder Routinen aus dem ERP-Programm ein, sondern läuft hiervon unabhängig. 1. Urheberrecht a) Vervielfältigung gem. § 69c Nr. 1 UrhG Urheberrechtliche Ansprüche des ERP-Anbieters setzen voraus, dass 20 durch die Verwendung der Drittanbietersoftware eine dem Rechtsinhaber vorbehaltene zustimmungsbedürftige Handlung gem. § 69c UrhG durch den Endkunden vorgenommen wird. Insofern liegt es nahe, auf das Ablaufenlassen des ERP-Programms durch den Endkunden abzustellen, da ein Zusammenwirken von Drittanbietersoftware und ERP-Programm denknotwendig voraussetzt, dass auch das ERP-Programm abläuft. Nach ganz herrschender Meinung setzt § 69c Nr. 1 UrhG allerdings voraus, dass für das Ablaufenlassen des Programms eine (erneute) Vervielfältigung des Programms erforderlich ist11. In Anbetracht des Wortlauts des 11 Siehe LG Mannheim v. 11.9.1998 – 7 O 142/98, CR 1999, 360, 361; Dreier in Dreier/Schulze, Urheberrechtsgesetz, 5. Aufl., München 2015, § 69c Rz. 8; Czychowski in Fromm/Nordemann, Urheberrecht, 11. Aufl., Stuttgart 2014, § 69c Rz. 8, 10; Hoeren/Schumacher, CR 2000, 137, 139; Marly, Praxishandbuch Softwarerecht, Rz. 159 ff.; Loewenheim/Spindler in Schricker/Loewenheim, Urheberrecht, 5. Aufl., München 2017, § 69c Rz. 8; Grützmacher in Wandtke/Bullinger, Urheberrecht, 4. Aufl., München 2014, § 69c Rz. 7; andere Auffassung Junker/Benecke, Computerrecht, 3. Aufl., Baden-Baden 2003, Rz. 64; Moritz/Tybusseck, Computersoftware, Rechtsschutz und Vertragsgestaltung, 2. Aufl., München 1992, Rz. 233; die Entscheidung BGH v. 20.1.1994
73
Axel Metzger/Peter Hoppen
§ 69c Nr. 1 UrhG, der das Ablaufenlassen nur dann als vom Verbotsrecht umfasst ansieht, wenn eine Vervielfältigung vorgenommen wird, sprechen die besseren Argumente für die herrschende Ansicht. Auch würde das Verbotsrecht andernfalls ausufern. Im Folgenden wird deswegen die Vervielfältigung als Anknüpfungspunkt für das Verbotsrecht des Rechtsinhabers gewählt. Für die Annahme einer solchen Vervielfältigung genügt es, wenn das Programm vorübergehend in den Arbeitsspeicher geladen wird, sei es, dass es sich um eine erneute oder um eine zusätzliche Vervielfältigung im oben genannten Sinne handelt12. Eine Vervielfältigung im urheberrechtlichen Sinne liegt auch vor, wenn eine Programmkomponente zusätzlich installiert werden muss. Wenn das Programm dagegen bereits in den Arbeitsspeicher geladen ist, so stellt das bloße Ablaufenlassen im Rahmen der indirekten Nutzung keine erneute zustimmungsbedürftige Handlung dar13. Dies gilt unabhängig davon, ob das Programm alleinstehend oder in Verbindung mit anderen Programmen abläuft, die über eine Schnittstelle mit dem Programm zusammenwirken. Ist das ERP-Programm vom Endkunden bereits in den Arbeitsspeicher geladen worden und wird von der Drittanbietersoftware über eine Schnittstelle angesprochen, so scheiden urheberrechtliche Ansprüche gegen den Endkunden oder den Drittanbieter aus. b) Bestimmungsgemäße Benutzung gem. § 69d Abs. 1 UrhG 21 Sofern es beim Zusammenwirken von Drittanbietersoftware und ERPProgramm zum Laden von Komponenten des ERP-Programms in den Arbeitsspeicher des Endkunden kommt, etwa von Schnittstellen, die nicht ohnehin schon geladen waren, liegt eine zustimmungsbedürftige Handlung gem. § 69c Nr. 1 UrhG vor. Die Vervielfältigung des ERP-Programms in den Arbeitsspeicher wäre gem. § 69d Abs. 1 UrhG gleichwohl nicht an die Zustimmung des Rechtsinhabers geknüpft, wenn sie für eine „bestimmungsgemäße Benutzung des Computerprogramms einschließlich der Fehlerberichtigung durch jeden zur Verwendung eines Vervielfältigungsstücks des Programms Berechtigten notwendig“ wäre. aa) Objektive Komponente 22 Was unter einer „bestimmungsgemäßen Benutzung“ des Programms zu verstehen ist, ergibt sich nach der Kommentarliteratur zunächst aus
– I ZR 267/91, CR 1994, 275 m. Anm. Hoeren = GRUR 1994, 363, 365 – Holzhandelsprogramm hat die Frage offen gelassen. 12 So der eindeutige Wortlaut des § 69c Nr. 1 UrhG. 13 So auch Marly, Praxishandbuch Softwarerecht, Rz. 157 f.
74
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
den vertraglichen Vereinbarungen zwischen dem Programmhersteller oder -lieferanten und dem berechtigten Benutzer. Entscheidend ist dabei der Überlassungszweck. Da die bestimmungsgemäße Benutzung jedoch auch bei entsprechender Vertragsgestaltung nicht auf null reduziert werden kann, ist von den konkreten vertraglichen Absprachen zu abstrahieren und auf eine dem wirtschaftlichen und technischen Nutzungszweck des betreffenden Programms entsprechende und gewöhnliche Benutzung abzustellen14. Erst im zweiten Schritt ist dann zu fragen, ob durch die konkrete vertragliche Vereinbarung ein abweichender Umfang der bestimmungsgemäßen Benutzung vereinbart worden ist, wobei der zwingende Kern des § 69d Abs. 1 UrhG nicht abbedungen werden kann15. Für ein ERP-Programm, welches auf einen Client-Server-Betrieb ausge- 23 richtet ist, wird man eine Nutzung im Unternehmensnetzwerk und auf den Client-Rechnern des Unternehmens als unproblematisch von der bestimmungsgemäßen Benutzung erfasst ansehen können. Im hiesigen Zusammenhang ist allein fraglich, ob die bestimmungsgemäße Benutzung auch ein Zusammenwirken des ERP-Programms mit einem Drittanbieterprogramm umfasst. Die Frage ist, soweit ersichtlich, noch nicht Gegenstand veröffentlichter Gerichtsentscheidungen gewesen. Lässt man die konkreten AGB des ERP-Anbieters außer Betracht und stellt stattdessen auf den wirtschaftlichen und technischen Nutzungszweck eines ERP-Programms ab, so spricht zunächst die Mitlieferung von Schnittstellen, über die Drittanbietersoftware an das System angebunden werden kann, für die Erfassung eines solchen Zusammenwirkens. Wenn die Software technisch auf eine Anbindung von Drittanbietersoftware ausgerichtet ist, so wäre es widersprüchlich, hierin keine bestimmungsgemäße Benutzung zu sehen. Für eine solche Betrachtungsweise kann auch die sonstige Architektur des ERP-Programms sprechen: Wenn dieses darauf ausgerichtet ist, funktional durch kundenspezifische Anwendungsprogramme ergänzt zu werden, so stellt eine solche Ergänzung eine bestimmungsgemäße Benutzung dar16.
14 Dreier in Dreier/Schulze, § 69d Rz. 7; Grützmacher in Wandtke/Bullinger, § 69d Rz. 7; Wiebe in Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl., München 2015, § 69d UrhG Rz. 11. 15 Dreier in Dreier/Schulze, § 69d Rz. 12; Grützmacher in Wandtke/Bullinger, § 69d Rz. 32; Marly, Praxishandbuch Softwarerecht, Rz. 234 f.; Schneider, Handbuch des EDV-Rechts, 5. Aufl., Köln 2017, Rz. G 262 f., 276; Wiebe in Spindler/Schuster, § 69d UrhG Rz. 20. 16 So im Ergebnis auch Grützmacher, ITRB 2017, 141, 143 und Barnitzke, K&R 2018, 455, 457.
75
Axel Metzger/Peter Hoppen
bb) Vertragliche Komponente und zwingender Kern 24 Ist die gemeinsame Nutzung von ERP-Programm mit Drittanbietersoftware Teil der objektiven „bestimmungsgemäßen Benutzung“, so ist weiter fraglich, ob ERP-Anbieter durch entsprechende vertragliche Gestaltungen die Anbindung von Drittanbieterprogrammen über Schnittstellen ausschließen können. § 69d Abs. 1 UrhG ist zwar dispositiv. Der Kern der bestimmungsgemäßen Benutzung ist aber zwingend und kann vertraglich nicht ausgeschlossen werden. Dies ergibt sich aus Art. 5 Abs. 1 und Erwägungsgrund 13 der Computerprogramm-Richtlinie 2009/24/ EG, die § 69d Abs. 1 UrhG zugrunde liegen und ist in Rechtsprechung und Literatur allgemein anerkannt17. Das Ausmaß dieses zwingenden Kerns ist jenseits des schon in Erwägungsgrund 13 der Richtlinie genannten Ladens und Ablaufens umstritten. Gestritten wird insbesondere über die Zulässigkeit von CPU-Klauseln oder Verbote des Outsourcings. Soweit ersichtlich, findet sich aber keine Judikatur oder Literatur zu der Frage, ob das Zusammenwirken mit anderen Programmen in den unabdingbaren Kernbereich des § 69d Abs. 1 UrhG gehört. Zwar hebt Erwägungsgrund 10 der Richtlinie hervor, dass die „Funktion von Computerprogrammen“ darin besteht, „mit den anderen Komponenten eines Computersystems und den Benutzern in Verbindung zu treten und zu operieren. Zu diesem Zweck ist eine logische und, wenn zweckmäßig, physische Verbindung und Interaktion notwendig, um zu gewährleisten, dass Software und Hardware mit anderer Software und Hardware und Benutzern wie beabsichtigt funktionieren können.“ Die Richtlinie macht aber nicht explizit deutlich, ob das Zusammenwirken mit anderen Programmen zum unabdingbaren Kern der bestimmungsgemäßen Nutzbarkeit gehört. 25 Bedeutung kommt insofern aber der Wertung des § 69e UrhG zu. Gemäß § 69e UrhG ist das Dekompilieren eines Programms gestattet, um die erforderlichen Informationen zur Herstellung der Interoperabilität eines unabhängig geschaffenen Computerprogramms mit anderen Programmen zu erhalten. Die so erlangten Informationen dürfen dann zur Herstellung der Interoperabilität mit dem anderen Programm verwendet werden. Der praktisch bedeutsamste Anwendungsfall des § 69e UrhG betrifft das Dekompilieren von Schnittstelleninformationen18. Das Urheberrechtsgesetz und die zugrunde liegende Richtlinie gehen davon 17 BGH, GRUR 2014, 232 – Usedsoft II, Rz. 32 und 66 ff.; BGH v. 24.2.2000 – I ZR 141/97, CR 2000, 656 = GRUR 2000, 866, 868 – Programmfehlerbeseitigung. Siehe auch Grützmacher in Wandtke/Bullinger, § 69d Rz. 34 ff. 18 Dreier in Dreier/Schulze, § 69e Rz. 1; Grützmacher in Wandtke/Bullinger, § 69e Rz. 6.
76
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
aus, dass im Interesse einer möglichen Verbindung verschiedener Programme sogar das Dekompilieren und die Nutzung der so gewonnenen Informationen zulässig sein kann. Entgegenstehende vertragliche Vereinbarungen sind gem. § 69g Abs. 2 UrhG unwirksam. „Ein Ziel dieser Ausnahme ist es“, so Erwägungsgrund 15 Satz 4 der Richtlinie, „die Verbindung aller Elemente eines Computersystems, auch solcher verschiedener Hersteller, zu ermöglichen, so dass sie zusammenwirken können.“ Die Bestimmung dient also der Erhaltung des Wettbewerbs. Im Zusammenspiel mit § 69a Abs. 2 UrhG, der die Schnittstellen zugrunde liegenden Ideen und Grundsätze vom Urheberrechtsschutz ausnimmt, soll § 69e UrhG die Schaffung konkurrierender, auf Interoperabilität angewiesener Programme ermöglichen19. Ist aber das Dekompilieren zur Herstellung der Interoperabilität zulässig, so muss die Herstellung der Interoperabilität im Sinne eines Erst-Recht-Schlusses ebenfalls für die Verbindung von Programmen gelten, deren Schnittstellen bekannt sind. Ein anderes Ergebnis würde zu Wertungswidersprüchen führen. Es wäre widersinnig, das Dekompilieren von Schnittstellen und die nachfolgende Verwendung der Informationen zu gestatten, eine Verwendung von offenliegenden Schnittstellen zur Herbeiführung einer Verbindung von Programmen aber zu verbieten. Da § 69e UrhG die spezielle Rechtsfolge des erlaubten Dekompilierens an eine Reihe von engen Voraussetzungen knüpft, liegt es näher, die einfache Verwendung von offen liegenden Schnittstellen als Teil der bestimmungsgemäßen Benutzung gem. § 69d Abs. 1 UrhG freizustellen. Für eine solche Auslegung des § 69d Abs. 1 UrhG spricht auch der Lock-In- 26 Effekt für Nutzer komplexer ERP-Programme. Diesen ist es aufgrund der großen technischen Komplexität der Systeme und der mit einem Wechsel verbundenen erheblichen Migrationskosten ohnehin kaum möglich, ein bereits installiertes System durch ein anderes ERP-Programm auszutauschen. Dieser Lock-In-Effekt würde noch vergrößert, wenn man den ERP-Anbietern auch eine Monopolisierung benachbarter Softwaremärkte gestatten würde. Im Hinblick auf die benachbarten Märkte für Anwendungsprogramme, die mit dem ERP-Programm zusammenwirken, ist auch kein berechtigtes Partizipationsinteresse des ERP-Anbieters zu erkennen. Diesem steht es frei, sich die eigene Leistung durch eine entsprechende Preispolitik vergüten zu lassen. Entsteht für den Endkunden ein Mehrwert, weil dieser Drittanbietersoftware gemeinsam mit dem ERP-Programm verwendet, so kann dies keine zusätzliche Vergütung des ERP-Anbieters rechtfertigen. Insofern muss die bestimmungsgemäße Be19 Siehe Begründung des Regierungsentwurfs für ein Zweites Gesetz zur Änderung des Urheberrechtsgesetzes v. 18.12.1992, BT-Drucks. 12/4022, 13.
77
Axel Metzger/Peter Hoppen
nutzung gem. § 69d Abs. 1 UrhG auch die Verbindung von Programmen über Schnittstellen umfassen. Dies bedeutet im Ergebnis, dass eine Verwendung von Schnittstellen für die Verbindung eines ERP-Programms mit anderen Programmen nicht wirksam ausgeschlossen werden kann. 27 Lediglich in Fallgestaltungen, in denen das Drittanbieterprogramm nicht mehr als unabhängiges Programm gesehen werden kann, weil es keine eigenständige Funktionalität aufweist, sondern nur dazu bestimmt ist, die zugreifende Nutzerzahl zu vergrößern („Multiplexing“, „Pooling“), kommen Ansprüche nach dem Urheberrechtsgesetz in Betracht, die dann auch Grundlage von Nachforderungen sein können. In diesen Konstellationen scheidet eine Einordnung als (objektiv) bestimmungsgemäße Benutzung des ERP-Programms aus, denn hierfür werden das ERP-Programm und die Schnittstellen ersichtlich nicht geliefert20. 2. Kartellrecht a) Missbrauch einer marktbeherrschenden Stellung gem. Art. 102 AEUV 28 Die Behinderung von Endkunden, unabhängig geschaffene Applikationen von Drittanbietern zu nutzen, kann gegen Art. 102 AEUV verstoßen. Ein Verstoß gegen Art. 102 AEUV setzt allerdings voraus, dass der ERP-Anbieter eine marktbeherrschende Stellung auf einem Markt innehat und dass in der betreffenden Lizenzierungspraxis eine missbräuchliche Ausnutzung dieser Stellung liegt. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) kann allein aus der Monopolstellung, welche sich aus dem Urheberrechtsschutz eines lizenzierten Immaterialgutes ergibt, nicht auf eine marktbeherrschende Stellung geschlossen werden21. Auch bei Lizenzierung oder Lizenzverweigerung von urheberrechtlich geschützten Gütern hat zunächst eine Feststellung des sachlich und räumlich relevanten Marktes nach den allgemeinen Grundsätzen zu erfolgen. Bekanntlich gehen der EuGH und die EU-Kommission vom sog. Bedarfsmarktkonzept aus. Danach setzt der Begriff des relevanten Marktes die „Möglichkeit eines wirksamen Wettbewerbs zwischen
20 Vgl. SAP v. Diageo, [2017] EWHC 189 (TCC) (High Court). Das Gericht setzte sich allerdings nur mit der Wirksamkeit der vertraglichen Absprache auseinander und hielt diese für wirksam, ohne auf urheberrechtliche Ansprüche einzugehen. 21 EuGH v. 6.4.1995 – C-241/91 P, C-242/91 P, CR 1995, 647 – Magill, Rz. 46 f. Siehe auch EuGH v. 26.11.1998 – C-7/97 – Bronner, Rz. 23 f. Siehe hierzu auch Ullrich/Heinemann in Immenga/Mestmäcker, Wettbewerbsrecht, 5. Aufl., München 2012, Immaterialgüterrecht, Rz. 42 ff.
78
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
den zu ihm gehörenden Erzeugnissen voraus, so dass ein hinreichender Grad von Austauschbarkeit zwischen allen zum gleichen Markt gehörenden Erzeugnissen im Hinblick auf die gleiche Verwendung erforderlich ist.“22 Bei der Prüfung der Substituierbarkeit auf der Nachfrageseite (d. h. auf Seiten der Kunden) wird dabei ermittelt, ob die Kunden des relevanten Produkts bei einer geringen, aber dauerhaften Änderung des geltenden Preises (um 5–10 %) die Möglichkeit haben, in unmittelbarer und wirksamer Weise auf ein gleichartiges Produkt zurückzugreifen. Die EU-Kommission berücksichtigt dabei aber auch Schranken regulatorischer oder anderer Art und Kosten, die mit einer Nachfrageverlagerung auf andere Produkte verbunden sind23. Hat ein ERP-Anbieter auf einem sachlich relevanten Markt eine markt- 29 beherrschende Stellung, so kann in vertraglichen Gestaltungen, die die Verwendung von Anwendungsprogrammen Dritter, die mit der ERP-Software zusammenwirken sollen, verbieten oder durch entsprechende Preisgestaltung faktisch ausschließen, ein Missbrauch dieser marktbeherrschenden Stellung liegen. Die EU-Kommission behandelt entsprechende Vertragsgestaltungen unter dem Gesichtspunkt des Kopplungsverbots. Bei einer Kopplung im engeren Sinne verknüpft das marktbeherrschende Unternehmen seine Leistungen auf dem Markt, auf dem es die beherrschende Stellung innehat, mit Leistungen auf einem benachbarten Markt. Die wettbewerbsrechtliche Bedenklichkeit der Kopplung resultiert dabei aus dem Potential eines beherrschenden Unternehmens, die Marktmacht von einem Markt auf den anderen zu übertragen (sog. Hebelwirkungen bzw. „leveraging“)24. Dabei ist anerkannt, dass nicht nur die direkte Bündelung von Waren oder Dienstleistungen unter Art. 102 AEUV fallen kann, sondern dass auch „subtilere Formen“ der Verknüpfung von verschiedenen Leistungen einen Missbrauch darstellen können. So gilt es auch als Fall der missbräuchlichen Kopplung, wenn bestimmte Anreize gesetzt werden, um vorzugsweise eine gleichzeitige Nachfrage nach dem gekoppelten Produkt zusammen mit dem koppelnden Produkt hervorzurufen („anreizbasierte Koppelung“). Diese kann in der Rabattierung der Hauptleistung für den Fall der Abnahme der gekop-
22 So EuGH v. 13.2.1979 – Rs. 85/76 – Hoffmann-La Roche; siehe auch EuG v. 12.12.1991 – Rs. T-30/89 – Hilti sowie Bekanntmachung der Kommission über die Definition des relevanten Marktes im Sinne des Wettbewerbsrechts der Gemeinschaft, ABl. EU Nr. C 372 v. 9.12.1997. Vgl. auch Fuchs/Möschel in Immenga/Mestmäcker, Wettbewerbsrecht, Art. 102 AEUV Rz. 48 ff. m.w.N. 23 Siehe Bekanntmachung der Kommission, ABl. EU Nr. C 372 v. 9.12.1997. 24 DG Competition discussion paper on the application of Article 82 of the Treaty to exclusionary abuses Discussion Paper, December 2005, Rz. 180.
79
Axel Metzger/Peter Hoppen
pelten Leistung bestehen25. Der Anreiz kann aber auch in der Versagung von Vorteilen für den Fall des Erwerbs von Leistungen Dritter gesehen werden. So hat es die EU-Kommission im Fall „Eurofix-Bauco/Hilti“ als unzulässige (indirekte) Kopplung betrachtet, wenn für den Fall des Bezugs des gekoppelten Produkts von Konkurrenten vertragliche Rabatte beim Erwerb des Hauptprodukts verwehrt werden26. Wendet man diese Grundsätze auf die hier interessierenden Praktiken von marktbeherrschenden ERP-Anbietern an, so sind alle vertraglichen Gestaltungen als missbräuchlich anzusehen, bei denen den Endkunden entweder die Verwendung von Drittanbieterprogrammen direkt untersagt wird oder bei denen zusätzliche Lizenzgebühren für die Nutzung des ERP-Programms verlangt werden, wenn dieses in Verbindung mit Drittanbieterprogrammen genutzt wird. In beiden Fällen missbraucht der ERP-Anbieter seine marktbeherrschende Stellung auf dem Markt für ERP-Programme, um seine Marktmacht auf den benachbarten Markt für Anwendungsprogramme zu übertragen27. b) Verbotenes Verhalten von marktbeherrschenden Unternehmen gem. § 19 GWB 30 Der Marktanteil eines Anbieters kann signifikant höher liegen, wenn man nur auf den deutschen Markt abstellt. Gemäß § 18 Abs. 4 GWB wird bei einem Marktanteil von über 40 % eine Marktbeherrschung vermutet. Da auch bei Anwendung der §§ 18, 19 GWB das Bedarfsmarktkonzept angewendet wird, kann für die Bestimmung des sachlich relevanten Marktes der ERP-Programme nach oben verwiesen werden28. 31 Ist eine marktbeherrschende Stellung zu bejahen, so ist weiter zu prüfen, ob in einem Verbot der gemeinsamen Verwendung des ERP-Programms mit einer Drittanbietersoftware oder in der Forderung von hohen Nachlizenzierungen ein Missbrauch gem. § 19 Abs. 2 GWB zu sehen ist. Entsprechende Vertragsklauseln erzeugen eine Bindungswirkung, bei denen die Kunden des marktbeherrschenden Unternehmens zum alleinigen Bezug der Waren oder Dienstleistungen des Unternehmens auf einem benachbarten Markt verpflichtet oder indirekt gedrängt werden. Eine solche Kopplungsbindung wirkt sich für Wettbewerber auf dem Markt 25 Fuchs/Möschel in Immenga/Mestmäcker, Wettbewerbsrecht, Art. 102 AEUV Rz. 285. 26 Europäische Kommission, 22.12.1987, ABl. EG 1988 Nr. L 65, 19, Rz. 30, 75 – Eurofix-Bauco/Hilti. 27 So auch im Ergebnis Grützmacher, ITRB 2017, 141, 144. 28 Fuchs/Möschel in Immenga/Mestmäcker, Wettbewerbsrecht, § 18 GWB Rz. 32 ff.
80
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
der gekoppelten Ware oder Leistung als Behinderung aus, die gem. § 19 Abs. 1 Nr. 1 GWB zu behandeln ist. Der BGH geht davon aus, dass eine missbräuchliche Kopplung auch schon dann vorliegen kann, wenn das beherrschende Unternehmen seinen Kunden den Bezug von Waren oder Dienstleistungen auf einem benachbarten Markt nicht verbietet und diesen auch nicht „verteuert“, sondern wenn sich allein aus der starken Marktstellung rein faktisch eine Sogwirkung auf dem Nachbarmarkt ergibt29. Liegt ein solcher „Machttransfer auf einen Verbundmarkt“ vor, bei dem das marktbeherrschende Unternehmen seine Machtposition auf einem Markt – hier dem Markt für ERP-Programme – missbräuchlich einsetzt, um den Wettbewerb auf einem eng verbundenen Nachbarmarkt zu behindern – hier dem Markt für Anwendungsprogramme, die mit dem ERP-Programm zusammenwirken sollen –, so ist diese Verhaltensweise als missbräuchliche Behinderung gem. § 19 Abs. 2 Nr. 1 GWB einzuordnen. c) Wettbewerbswidrige Vereinbarungen gem. Art. 101 AEUV Vereinbarungen zwischen ERP-Anbietern und Endkunden, keine Dritt- 32 anbietersoftware zu verwenden oder hieran geknüpfte hohe Nachlizenzierungspflichten könnten als Vereinbarungen zwischen Unternehmen gem. Art. 101 Abs. 1 AEUV anzusehen sein, welche eine Verhinderung, Einschränkung oder Verfälschung des Wettbewerbs zwischen verschiedenen Anbietern bezwecken oder bewirken. Ein Wettbewerbsverstoß wäre dagegen abzulehnen, wenn eine Freistellung der Vereinbarung durch eine von der EU-Kommission auf Grundlage von Art. 101 Abs. 3 AEUV erlassene Gruppenfreistellungsverordnung erfasst wäre. Eine Freistellung nach der Gruppenfreistellungsverordnung für Technologie-Transfervereinbarungen 316/2014/EU scheidet bei den hier interessierenden Lizenzverträgen zwischen ERP-Anbietern und ihren Kunden aus, weil entsprechende Lizenzverträge nicht auf die Produktion von Vertragsprodukten durch den Lizenznehmer i. S. v. Art. 1 Abs. 1 lit. c) der Verordnung abzielen30. Allerdings könnte die allgemeinere Gruppenfreistellungsverordnung für vertikale Vereinbarungen 333/2010/EU anwendbar sein. Die Vertikal-GVO erfasst gem. Art. 1 Abs. 1 lit. a) alle Vereinbarungen 29 So BGH v. 30.3.2004 – KZR 1/03, ITRB 2004, 246 = CR 2004, 662 m. Anm. Schütze/Schulze zur Wiesche = GRUR 2004, 706, 707 f. – zur Kopplung von ISDN-Anschluss mit Internetzugang durch die Deutsche Telekom. Vgl. allgemein zur Kopplungsbindung Loewenheim in Loewenheim/Meessen/Riesenkampff/Kersting/Meyer-Lindemann, Kartellrecht, 3. Aufl. 2016, § 19 Rz. 35; Markert in Immenga/Mestmäcker, Wettbewerbsrecht, § 19 GWB Rz. 200 ff. 30 Leitlinien der Kommission zur Technologietransfer-GVO, ABl. EU Nr. C 89 v. 28.3.2014, 3 Rz. 58 ff.
81
Axel Metzger/Peter Hoppen
zwischen Unternehmen, die auf verschiedenen Vertriebsstufen tätig sind und die die Bedingungen betreffen, zu denen die beteiligten Unternehmen Waren oder Dienstleistungen beziehen, verkaufen oder weiterverkaufen dürfen. Bei den hier interessierenden Lizenzverträgen handelt es sich unzweifelhaft um solche Vertikal-Vereinbarungen zwischen ERPAnbietern und Unternehmen als Endkunden, die den Bezug von Dienstleistungen – hier die Überlassung des ERP-Programms und die hieran gekoppelten Nutzungsrechte – regeln. Bei vertikalen Vereinbarungen, die die Übertragung oder Lizenzierung geistiger Eigentumsrechte betreffen, ist allerdings Art. 2 Abs. 3 der Vertikal-GVO zu beachten. Danach gilt die Freistellung nur, wenn die Bestimmungen über geistige Eigentumsrechte nicht den Hauptgegenstand der Vereinbarung bilden. Dies kann man bei den behandelten Softwarelizenzverträgen nicht ohne weiteres annehmen. Zwar sind entsprechende Verträge auf die Überlassung der Software und die Einräumung von Nutzungsrechten an dieser Software gerichtet, so dass man die Frage stellen kann, ob es sich tatsächlich um „reine Lizenzverträge“ handelt31. Eine Aufspaltung des Vertragsgegenstands in das immaterielle Gut Software und die dazugehörigen Nutzungsrechte erschiene jedoch als künstlich. Bedenkt man, dass die Vertikal-GVO gemäß den Leitlinien der EU-Kommission gerade für den Warenvertrieb geschaffen worden ist, so liegt eine Anwendung auf die hier interessierenden Verträge eher fern. Für eine enge Auslegung spricht zudem, dass die Vertikal-GVO gemäß den Leitlinien zwar ausdrücklich auf Software-Vertriebsverträge anzuwenden ist, bei denen der Reseller die Software auf Datenträgern zum Zweck des Weiterverkaufs erhält, ohne selbst Lizenznehmer zu werden, die Vertikal-GVO oder die Leitlinien jedoch Softwareüberlassungsverträge, die eine Lizenzeinräumung an den Abnehmer beinhalten, an keiner Stelle erwähnen32. Insgesamt sprechen deswegen die besseren Argumente dafür, dass die EU-Kommission diese Verträge beim Verfassen der Vertikal-GVO nicht im Blick hatte und diese folglich auf Softwarelizenzverträge auch nicht angewendet werden kann. 33 Nach der hier vertretenen Ansicht unterfallen Softwarelizenzverträge damit keiner GVO gem. Art. 101 Abs. 3 AEUV. Dies bedeutet, dass insoweit eine Einzelfallprüfung vorzunehmen ist, ob die Voraussetzungen des Art. 101 Abs. 1 AEUV gegeben sind und, wenn ja, ob die Voraussetzungen des Art. 101 Abs. 3 AEUV für eine Freistellung im Einzelfall erfüllt sind33. Dabei legt die Formulierung in Art. 101 Abs. 1 lit. e) AEUV,
31 Vgl. hierzu die Leitlinien der Kommission zur Vertikal-GVO, ABl. EU Nr. C 130 v. 19.5.2010, 1 Rz. 35 sowie die Beispiele in den Rz. 41 ff. 32 S. Leitlinien der Kommission zur Vertikal-GVO, Rz. 41. 33 Leitlinien der Kommission zur Vertikal-GVO, Rz. 96.
82
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
wonach „die an den Abschluss von Verträgen geknüpfte Bedingung, dass die Vertragspartner zusätzliche Leistungen annehmen, die weder sachlich noch nach Handelsbrauch in Beziehung zum Vertragsgegenstand stehen“ als wettbewerbswidrig einzuordnen sind, es zwar nahe, die zu Kopplungsbindungen durch marktbeherrschende Unternehmen entwickelten Grundsätze auch auf Vereinbarungen zwischen Unternehmen i. S. d. Art. 101 AEUV anzuwenden. Die Anforderungen an die Annahme eines Wettbewerbsverstoßes sind in den Fällen, in denen die Kopplung nicht von einem marktbeherrschenden Unternehmen ausgeht, jedoch deutlich restriktiver. Art. 101 Abs. 1 lit. e) AEUV setzt voraus, dass der Abschluss eines Vertrags von der Bedingung abhängig gemacht wird, dass zusätzliche Leistungen durch den Vertragspartner abgenommen werden. Dagegen erfüllen lediglich ökonomisch wirkende Anreize wie die Gewährung besonderer Rabatte bei gleichzeitigem Bezug zweier Produkte den Tatbestand nicht34. Liegen die engen Voraussetzungen für eine Kopplungsbindung gem. Art. 101 Abs. 1 lit. e) AEUV nicht vor, so fehlt es bereits an einer Wettbewerbsbeschränkung. Die Frage der Freistellung gem. Art. 101 Abs. 3 AEUV stellt sich dann nicht mehr. Dass Kopplungsbindungen nicht-marktbeherrschender Unternehmen nur ausnahmsweise den Tatbestand des Art. 101 AEUV erfüllen, kann auch den Leitlinien zur Vertikal-GFVO entnommen werden. Diese benennen als einzigen Beispielfall eines Verstoßes gegen Art. 101 Abs. 1 AEUV den Markenzwang und nehmen einen Wettbewerbsverstoß auch hier nur bei einer starken Marktstellung des Anbieters an35. Der Grund für die großzügige Beurteilung von indirekten Kopplungsbindungen bei vertikalen Vereinbarungen ohne Beteiligung eines marktbeherrschenden Unternehmens liegt darin, dass die ökonomischen Auswirkungen vertikaler Bindungen von Anbietern, die sich im Wettbewerb mit anderen Anbietern befinden, nicht zwangsläufig negativ für die Verbraucher sein müssen. Sie können zu einer Öffnung oder einer Verstärkung des Wettbewerbs auf dem benachbarten Markt führen36. Dies gilt wohlgemerkt jedoch nur, solange sich der Kunde zwischen verschiedenen Anbietern entscheiden kann. Andernfalls greift das strengere Regime des Art. 102 AEUV. Für die hier interessierenden Vertragspraktiken von ERP-Anbietern bedeutet dies, dass ein Verbot der Verwendung von Drittanbietersoftware oder kostspielige Nachlizenzierungspflichten, die an die Verwendung von Dritt-
34 So ausdrücklich Zimmer in Immenga/Mestmäcker, Wettbewerbsrecht, Art. 101 AEUV Rz. 252 f. 35 Leitlinien der Kommission zur Vertikal-GVO, Rz. 214 ff. 36 Vgl. hierzu die Leitlinien zur Anwendung Technologietransfer-GVO, ABl. EU Nr. C 89 v. 28.3.2014, 3 Rz. 199, 212, 219.
83
Axel Metzger/Peter Hoppen
anbietersoftware anknüpfen, nicht als Verstoß gegen Art. 101 AEUV zu bewerten sind. d) Wettbewerbswidrige Vereinbarungen gem. § 1 GWB 34 Seit der 7. GWB-Novelle 2005 läuft § 1 GWB inhaltlich grundsätzlich mit Art. 101 Abs. 1 AEUV parallel. Nach § 1 GWB darf die Beurteilung im Grundsatz nicht anders ausfallen als nach Art. 101 Abs. 1 AEUV. Das gilt auch dann, wenn kein zwischenstaatlicher Sachverhalt vorliegt37. 3. Vertragsrecht: Verstoß gegen AGB-Vorschriften 35 Ein vertragliches Verbot der Nutzung von Drittanwendungen über Schnittstellen bzw. hohe Nachforderungen für diesen Fall können zudem eine unangemessene Benachteiligung gem. § 307 Abs. 1 BGB darstellen. Dies wäre gem. § 307 Abs. 2 Nr. 1 BGB im Zweifel anzunehmen, wenn die vertragliche Bestimmung mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist. Die Regelung ist in erster Linie auf dispositive Regelungen des Vertragsrechts zugeschnitten, von denen zwar in Individualvereinbarungen abgewichen werden darf, für die bei abweichenden Klauseln in AGB aber die besonderen Anforderungen des § 307 BGB gelten38. Bekanntlich fehlt es für Softwarelizenzverträge aber an einer gesetzlichen Regelung mit dispositiven Regelungen, die als Leitbild für eine Prüfung gem. § 307 BGB herangezogen werden können. Die Rechtsprechung hat allerdings schon seit langem anerkannt, dass sich wesentliche Grundgedanken des Gesetzes i. S. v. § 307 Abs. 2 Nr. 1 BGB auch aus anderen als vertragsrechtlichen Gesetzen ergeben können, etwa aus Bestimmungen des Datenschutz- oder Lauterkeitsrechts39. In Anwendung dieser Rechtsprechung werden auch die urheberrechtlichen Grenzen der Vertragsfreiheit im Softwarelizenzrecht, die sich in den §§ 69c, 69d, 69e und 69g UrhG finden, zum Leitbild der Softwarelizenzverträge gezählt40. Bei Anlegung dieses Maßstabs begründet der oben angenommene Verstoß gegen § 69d Abs. 1 UrhG, der in dem vertraglichen Verbot der Nutzung von Drittanwendungen über Schnittstellen bzw. in hohen Nachforderung für diesen Fall liegt, zugleich eine Indizwirkung für die Annahme einer unange37 Siehe Begr. RegE 7. GWB-Novelle, BT-Drucks. 15/3640, 21. Siehe auch Nordemann in Loewenheim/Meessen/Riesenkampff/Kersting/Meyer-Lindemann, Kartellrecht, § 1 Rz. 21. 38 Wurmnest in MünchKomm/BGB, 7. Aufl., München 2016, § 307 Rz. 65 f. 39 Wurmnest in MünchKomm/BGB, § 307 Rz. 69 m.w.N. 40 Grützmacher in Wandtke/Bullinger, § 69d Rz. 41 ff., § 69e Rz. 26 und § 69g Rz. 39. Siehe auch Wurmnest in MünchKomm/BGB, § 307 Rz. 85.
84
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
messenen Benachteiligung gem. § 307 Abs. 2 Nr. 1 BGB. Dies bedeutet, dass die Argumentationslast, es handele sich ausnahmsweise doch um keine unangemessene Benachteiligung, beim Verwender der Klausel liegt41. Im Ergebnis kann deshalb von der Unwirksamkeit des Verbots der Nutzung von Drittanwendungen über Schnittstellen bzw. einer hohen Nachforderung für diesen Fall ausgegangen werden, vorbehaltlich eines entsprechenden Vortrags des ERP-Anbieters. Bedenkt man allerdings, dass es sich bei der Herstellung der Interoperabilität von Programmen und der hierauf basierenden Möglichkeit des Wettbewerbs zwischen verschiedenen Anbietern um eines der zentralen Anliegen der §§ 69a ff. UrhG handelt, so ist eine Annahme von berechtigten Interessen des ERPAnbieters, die die Benachteiligung des Endkunden überwiegen können, kaum denkbar. IV. Fallgruppe 2: Die Drittanbietersoftware enthält schutzfähigen Code des ERP-Programms Die Drittanbietersoftware enthält schutzfähigen Code des ERP-Pro- 36 gramms, bspw. wurden Templates des ERP-Anbieters verwendet, Module des ERP-Programms umgeschrieben oder Entwicklungswerkzeuge verwendet, die Code des ERP-Programms in Drittanbietersoftware implementieren. 1. Urheberrecht Sofern in der Drittanbietersoftware Code des ERP-Programms enthalten 37 ist, kommen urheberrechtliche Ansprüche des ERP-Anbieters in Frage und es besteht ein berechtigtes Partizipationsinteresse des ERP-Anbieters. a) Schutzfähige Teile eines Computerprogramms gem. § 69a UrhG Dies setzt zunächst voraus, dass es sich bei den übernommenen Pro- 38 grammteilen um ein urheberrechtlich geschütztes Computerprogramm gem. § 69a UrhG handelt. Wird nur ein Teil eines Programms übernommen, so muss dieser die Voraussetzungen für einen Schutz nach dem Urheberrechtsgesetz erfüllen42. Die Anforderungen für den Urheberrechtsschutz sind allerdings nicht zu hoch anzusetzen. Gemäß § 69a Abs. 3 41 Wurmnest in MünchKomm/BGB, § 307 Rz. 63. 42 Siehe EuGH v. 16.7.2009 – C-5/08, CR 2009, 757 – Infopaq International, Rz. 39; EuGH v. 2.5.2012 – C-406/10, ITRB 2012, 147 = CR 2012, 428 m. Anm. Heymann – SAS Institute, Rz. 65.
85
Axel Metzger/Peter Hoppen
UrhG muss es sich bei dem übernommenen Teil des Programms um ein individuelles Werk in dem Sinne handeln, dass es das Ergebnis der eigenen geistigen Schöpfung seines Urhebers ist. Zur Bestimmung der Schutzfähigkeit sind aber keine anderen Kriterien, insbesondere nicht qualitative oder ästhetische, anzuwenden. Die Literatur leitet hieraus ab, dass auch im Bereich der Computerprogramme die „kleine Münze“ geschützt ist, die nur eine geringe Schöpfungshöhe aufweist. Dies ist bereits dann der Fall, wenn der Programmierer einen gewissen Gestaltungsspielraum beim Schreiben des Programms hatte, den er in kreativer Weise ausgenutzt hat43. Dagegen scheidet ein Urheberrechtsschutz für solche Programmelemente aus, die technisch zwingend vorgegeben sind. Wenn der Programmierer Teile des Codes nur auf eine Weise verfassen kann, um die gewünschte Funktionalität zu erreichen, so fehlt es an einem Gestaltungsspielraum und damit auch an der Individualität der Programmierung. Der EuGH hat zudem entschieden, dass Programmiersprachen und Dateiformate, die im Rahmen eines Computerprogramms verwendet werden, vom Urheberrechtsschutz ausgenommen sind44. Keinen Urheberrechtsschutz genießt zudem die Funktionalität eines Programms als solche, sofern diese nicht auch mit dem gleichen Code umgesetzt wird. Dabei ist es unschädlich, wenn die gleiche Programmiersprache und das gleiche Dateiformat verwendet werden45. Ausgenommen vom Urheberrechtsschutz sind zudem die Ideen und Grundsätze, die einem Element eines Computerprogramms zugrunde liegen, einschließlich der den Schnittstellen zugrunde liegenden Ideen und Grundsätze. Dies bedeutet nicht, dass Schnittstellen grundsätzlich urheberrechtsfrei wären. Urheberrechtsschutz kommt aber nur in Frage, wenn die Programmierung der Schnittstelle das Kriterium der Individualität erfüllt, es also Gestaltungsspielraum bei der Programmierung gegeben hat. Insoweit ist zu beachten, dass die Gestaltung in hohem Maße von Schnittstellen durch technische Notwendigkeiten, vereinheitlichte Spezifikationen und Stan43 Siehe Dreier in Dreier/Schulze, § 69a Rz. 25 f.; Grützmacher in Wandtke/ Bullinger, § 69a Rz. 32 ff.; Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, München 2007, S. 121 ff.; Wiebe in Spindler/Schuster, § 69d UrhG Rz. 24 ff. jeweils m.w.N. 44 EuGH v. 2.5.2012 – C-406/10, ITRB 2012, 147 = CR 2012, 428 m. Anm. Heymann – SAS Institute, Ls. 1 und Rz. 39 ff. Siehe hierzu im Einzelnen Metzger, Datenmodelle, Dateiformate und Schnittstellen in Conrad/Grützmacher, Recht der Daten und Datenbanken im Unternehmen, Köln 2014, S. 245 ff. 45 EuGH v. 2.5.2012 – C-406/10, ITRB 2012, 147 = CR 2012, 428 m. Anm. Heymann – SAS Institute, Ls. 1 und Rz. 44. Siehe hierzu im Einzelnen Fiedler, Der Computerprogrammschutz und die Schutzrechtskumulation von Urheber- und Patentrecht, Baden-Baden 2013, S. 93 ff.
86
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
dardisierungen bestimmt ist. Ein Urheberrechtsschutz von Schnittstellen ist deshalb eher die Ausnahme46. Bei der Übernahme von Code des ERP-Programms in die Drittanbietersoftware ist also genau zu prüfen, welche Programmteile übernommen worden sind und ob diese die Voraussetzungen für einen Schutz gem. § 69a UrhG erfüllen. Dies erfordert eine Einzelfallprüfung anhand der Quelltexte des ERP-Programms und der Drittanbietersoftware und kann nicht abstrakt bestimmt werden. b) Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung gem. § 69c UrhG Enthält die Drittanbietersoftware schutzfähige Bestandteile des ERP- 39 Programms, so bedarf der Drittanbieter für jede Vervielfältigung, die er bei sich oder für Endkunden erstellt, gem. § 69c Nr. 1 UrhG der Zustimmung des ERP-Anbieters. Gleiches gilt für die Verbreitung körperlicher Vervielfältigungen gem. § 69c Nr. 3 UrhG und für das Bereithalten zum Download gem. § 69c Nr. 4 UrhG. In der Einbindung von Softwarebestandteilen des ERP-Programms in die Drittanbietersoftware liegt zudem eine Umarbeitung gem. § 69c Nr. 2 UrhG. Ob der Drittanbieter zur Vornahme der genannten zustimmungsbedürftigen Handlungen befugt ist, hängt von der vertraglichen Vereinbarung zwischen dem ERP-Anbieter und dem Drittanbieter ab, sofern eine solche überhaupt vorliegt. Auch für dauerhafte oder vorübergehende Vervielfältigungen, die Endkunden erstellen, bedarf es der Zustimmung des ERP-Anbieters. Diese dürfte in aller Regel nicht bereits durch den Abschluss eines Lizenzvertrags für das ERP-Programm gegeben sein, da für eine Erfassung von Codebestandteilen in Drittanbietersoftware im Rahmen dieses Vertrags typischerweise kein Anlass besteht. Je nach Vertragsgestaltung zwischen ERP-Anbieter und Drittanbieter kann der letztgenannte aber die Befugnis erworben haben, Unterlizenzen an die Endkunden zu vergeben, die dann eine entsprechende Nutzung gestatten. Dagegen ist das Zusammenwirken der Drittanbietersoftware mit dem ERP-Programm über eine Schnittstelle zustimmungsfrei zulässig. Insofern bleibt es bei den unter der Fallgruppe 1 beschriebenen Grundsätzen (s. III.1.a) oben). c) Bestimmungsgemäße Benutzung gem. § 69d Abs. 1 UrhG Die Nutzung von schutzfähigen ERP-Bestandteilen, die vom Drittan- 40 bieter in seine Software integriert worden sind, kann auch nicht als bestimmungsgemäße Benutzung durch den Endkunden gem. § 69d Abs. 1 46 Metzger in Conrad/Grützmacher, Recht der Daten und Datenbanken im Unternehmen, S. 252; s. auch Marly, GRUR 2011, 204, 208.
87
Axel Metzger/Peter Hoppen
UrhG gewertet werden. Wer als Lizenznehmer das Recht erwirbt, ein ERP-Programm zu verwenden, kann unabhängig von der konkreten Vertragsgestaltung nicht damit rechnen, dass dies auch die Verwendung von Codebestandteilen des ERP-Programms im Rahmen einer Drittanbietersoftware umfasst. 2. Kartellrecht a) Missbrauch einer marktbeherrschenden Stellung gem. Art. 102 AEUV und § 19 GWB 41 Bei der kartellrechtlichen Beurteilung gilt es zu differenzieren. Von Interesse ist dabei vor allem der Fall, in dem der ERP-Anbieter eine marktbeherrschende Stellung hat. Verbietet der ERP-Anbieter in diesem Fall seinen Kunden die Verwendung von Drittanbietersoftware, und zwar unabhängig davon, ob diese Code-Bestandteile des ERP-Programms enthält oder nicht, so bleibt es bei den unter Fallgruppe 1 dargestellten Grundsätzen (s. III.2.a) oben). Das gleiche gilt für den Fall, dass die Verwendung von Drittanbietersoftware zwar generell gestattet, aber an hohe Nachlizenzierungspflichten geknüpft wird. In beiden Konstellationen wird der Wettbewerb auf dem benachbarten Markt für Anwendungsprogramme faktisch ausgeschlossen, was als Verstoß gegen Art. 102 AEUV und § 19 GWB zu bewerten ist. Eine abweichende Beurteilung ist aber dann geboten, wenn der ERP-Anbieter seinen Endkunden zwar grundsätzlich die Verwendung von Drittanbietersoftware gestattet, jedoch spezifisch die Verwendung von Drittanbietersoftware, welche ERP-Bestandteile enthält, untersagt oder an eine Nachlizenzierungspflicht knüpft. In diesem Fall bleibt es Drittanbietern unbenommen, Anwendungsprogramme zu entwickeln und anzubieten, die mit dem ERP-Programm über Schnittstellen kommunizieren. Es handelt sich dann nicht mehr um einen Fall der indirekten Kopplung von ERP-Programm und Anwendungsprogramm, sondern um eine Durchsetzung von urheberrechtlichen Ansprüchen im Hinblick auf die ERP-Bestandteile in dem Drittanbieterprogramm. Dies bedeutet in der Konsequenz zunächst, dass für die Beurteilung der marktbeherrschenden Stellung nicht mehr auf den Markt für ERP-Programme, sondern auf den Markt für die betreffenden Anwendungsprogramme abzustellen ist. Ob der Anbieter des ERP-Programms hier eine beherrschende Stellung hat, kann nur auf einer Grundlage einer Marktanalyse bewertet werden, die im Rahmen dieses Beitrags nicht geleistet werden kann. 42 Unterstellt man, dass der ERP-Anbieter auch in diesem Markt eine beherrschende Stellung hat, so ist in der bloßen Wahrnehmung von urheberrechtlichen Ansprüchen als solches noch keine missbräuchliche Aus88
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
nutzung der marktbeherrschenden Stellung auf diesem Markt zu sehen47. Vielmehr kommt ein Verstoß gegen Art. 102 AEUV und § 19 GWB nur in Betracht, wenn einer der allgemeinen Tatbestände des Marktstruktur-, Ausbeutungs- oder des Behinderungsmissbrauchs, die in den Tatbeständen der Art. 102 AEUV und § 19 GWB angelegt sind, durch den ERP-Anbieter erfüllt wird48. Als praktisch bedeutsame Fallgruppe für die hier behandelten Lizenzierungspraktiken kommt der Behinderungsmissbrauch in Betracht. Wenn der ERP-Anbieter seine Urheberrechte an den Codebestandteilen nicht als ein die eigene Leistung sicherndes Wettbewerbsmittel, sondern zur Unterdrückung fremder Leistungen einsetzt, kann in der Wahrnehmung der Rechte zugleich ein Verstoß gegen Art. 102 AEUV bzw. § 19 GWB liegen49. Ein solcher Fall könnte beispielsweise gegeben sein, wenn der ERP-Anbieter den Drittanbietern eine Nutzung seiner Entwicklungswerkzeuge oder Templates zunächst empfiehlt, den Endkunden dann aber später eine Verwendung der so entstandenen Drittanbieterprogramme entweder verweigert oder an hohe Nachlizenzierungspflichten knüpft. In diesem Fall fungiert das Urheberrecht an den ERP-Bestandteilen ähnlich einem Sperrpatent, bei dem Wettbewerbern zunächst eine Nutzung der Technologie in Aussicht gestellt oder diese geduldet wird, später dann aber doch Unterlassungsklage erhoben wird50. Ein Behinderungsmissbrauch kann aber auch dann vorliegen, wenn die 43 Nutzung der ERP-Bestandteile nicht auf eine Empfehlung des ERP-Anbieters zurückgeht oder sich dies jedenfalls nicht nachweisen lässt, die Verwendung der Bestandteile aber technisch erforderlich ist, um Produkte auf dem benachbarten Markt für Anwendungsprogramme anzubieten. Weigert sich der ERP-Anbieter in diesem Fall, dem Drittanbieter und den Endkunden die Nutzung der ERP-Bestandteile zu angemessenen Bedin-
47 Siehe hierzu die st. Rspr. des EuGH v. 29.2.1968 – Rs. 24/67 – Parke Davis/Proebel; EuGH v. 15.6.1976 – Rs. 96/75 – EMI Records/CBS Schallplatten; EuGH v. 23.5.1978 – Rs. 102/77 – Hoffmann-La Roche/Centrafarm. Vgl. auch BGH v. 13.7.2004 – KZR 40/02, GRUR 2004, 966 – Standard-Spundfass zu § 19 GWB. 48 Siehe hierzu grundlegend EuGH v. 6.4.1995 – C-241/91 P – Magill, Rz. 49 f.; EuGH v. 29.4.2004 – C-418/01, CR 2005, 16 – IMS Health, Rz. 48, 52. Zum europäischen Recht allgemein Ullrich/Heinemann in Immenga/Mestmäcker, Immaterialgüterrecht, Rz. 50; zum deutschen Recht Markert in Immenga/Mestmäcker, Wettbewerbsrecht, § 19 GWB Rz. 165. 49 Ullrich/Heinemann in Immenga/Mestmäcker, Immaterialgüterrecht, Rz. 53. 50 Vgl. hierzu den Fall EuGH v. 16.7.2015 – C-170/13 – Huawei, in dem ein Patent zunächst unter Abgabe einer FRAND-Erklärung zu einem Industriestandard wurde, der Patentinhaber sich aber später weigerte, Lizenzen zu angemessenen Bedingungen zu erteilen.
89
Axel Metzger/Peter Hoppen
gungen zu gestatten und wird dadurch ein neues Angebot eines Drittanbieters verhindert, welches sich von dem Angebot des ERP-Anbieters unterscheidet oder wird sogar jegliches Angebot auf dem Nachbarmarkt verhindert, weil der ERP-Anbieter dort selbst nicht tätig ist, so ist die Lizenzverweigerung als missbräuchlich einzuordnen51. 44 In der Microsoft-Entscheidung ging das Gericht der Europäischen Union (EuG) noch einen Schritt weiter und hob hervor, dass der Wettbewerber nicht zwangsläufig an der Entwicklung oder Vermarktung eines (gegenüber dem Angebot des Marktbeherrschers) „neuen“ Produkts gehindert werden muss, sondern dass es für die Annahme eines Behinderungsmissbrauchs auch ausreicht, wenn die „technische Entwicklung eingeschränkt wird“52. 45 Im Ergebnis bedeutet dies, dass eine Weigerung, Lizenzen an den ERP-Bestandteilen zu erteilen, nicht per se gegen Art. 102 AEUV oder § 19 GWB verstößt. Setzt der ERP-Anbieter aber sein Urheberrecht an den ERP-Bestandteilen in der Drittanbietersoftware gezielt ein, um Mitbewerber auf dem Markt für Anwendungsprogramme zu behindern oder ist die Verwendung der ERP-Bestandteile für die Entwicklung neuer Anwendungsprogramme erforderlich und der ERP-Anbieter weigert sich, Lizenzen zu erteilen, so kann es sich um einen Fall des Behinderungsmissbrauchs handeln. b) Wettbewerbswidrige Vereinbarungen gem. Art. 101 AEUV und § 1 GWB 46 Hinsichtlich der kartellrechtlichen Grenzen für Lizenzvereinbarungen, bei denen der Rechtsinhaber nicht zugleich eine marktbeherrschende Stellung hat, kann auf die Ausführungen zu Fallgruppe 1 verwiesen werden (s. III.2.c) oben). Wenn ein Verwendungsausschluss oder eine Erschwerung der Verwendung von Anwendungsprogrammen zulässig ist, die der Drittanbieter völlig eigenständig entwickelt hat, dann muss dies umso mehr gelten, wenn in der Software Bestandteile des ERP-Programms enthalten sind.
51 EuGH v. 6.4.1995 – C-241/91 P – Magill, Rz. 49 f.; EuGH v. 29.4.2004 – C-418/01, CR 2005, 16 – IMS Health, Rz. 52 ff. Siehe hierzu auch Grützmacher, Kartellrechtliche Grenzen des Schutzes von Datenbanken, in Conrad/Grützmacher, Recht der Daten und Datenbanken im Unternehmen, S. 269, 272 ff.; Walz, GRUR-Int. 2013, 718, 721 ff. 52 EuG v. 17.9.2007 – Rs. T-201/04, ITRB 2008, 268 – Microsoft/Kommission, Rz. 621 ff., 643 ff., insb. 647.
90
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
3. Vertragsrecht: Verstoß gegen AGB-Vorschriften Für die Inhaltskontrolle vertraglicher Verbote der Verwendung von Dritt- 47 anbietersoftware bzw. hieran geknüpfte Nachlizenzierungsforderungen kommt es auf die konkrete Gestaltung der Vertragsbedingungen an. Schließt der ERP-Anbieter die Verwendung jeglicher Drittanbietersoftware aus bzw. knüpft hieran die Nachlizenzierungsforderung, so gelten die zu Fallgruppe 1 entwickelten Grundsätze (s. III.3. oben). Generelle Verbote oder Behinderungen der Verwendung von Drittanbietersoftware, die über Schnittstellen mit dem ERP-Programm zusammenwirken sollen, verstoßen gegen die §§ 69d Abs. 1, 69g Abs. 2 UrhG und stellen zugleich eine unangemessene Benachteiligung gem. § 307 Abs. 1, Abs. 2 Nr. 2 BGB dar. Die Klausel ist auch dann unwirksam, wenn sie aufgrund ihres weiten Wortlauts den Fall erfasst, in dem die Drittanbietersoftware Codebestandteile des ERP-Programms enthält. Zwar könnte man für diesen Fall argumentieren, dass ein vertragliches Verbot insoweit keine unangemessene Benachteiligung darstellen kann, weil dem ERP-Anbieter dann regelmäßig auch ein urheberrechtliches Verbotsrecht gem. §§ 69c, 97 UrhG zusteht. Bei der Klauselkontrolle kommt es aber nicht auf die Angemessenheit der Anwendung im Einzelfall an, sondern auf den objektiven Inhalt der Klausel53. Ist die Klausel mehrdeutig, so gehen gem. § 306 Abs. 2 BGB Zweifel bei der Auslegung zu Lasten des ERP-Anbieters. Die Rechtslage stellt sich jedoch anders dar, wenn die Klausel des ERP- 48 Anbieters konkret nur die Verwendung von Drittanbieterprogrammen verbietet oder durch hohe Nachforderungen behindert, die Bestandteile des ERP-Programms enthalten. Verwendet der Drittanbieter Code des ERP-Anbieters, so muss es der Endkunde hinnehmen, wenn die Nutzung des ERP-Codes verweigert oder an restriktive Konditionen gebunden wird. Wie oben dargestellt, stehen dem ERP-Anbieter in diesem Fall urheberrechtliche Ansprüche gegen den Endkunden zu, sofern dieser nicht auf Grundlage einer vom Drittanbieter erteilten Unterlizenz zur Nutzung der Software berechtigt ist. Dann kann es aber auch keine unangemessene Benachteiligung des Endkunden sein, wenn der ERP-Anbieter das urheberrechtliche Verbotsrecht zusätzlich im Lizenzvertrag absichert.
53 Wurmnest in MünchKomm/BGB, § 307 Rz. 37.
91
Axel Metzger/Peter Hoppen
V. Fallgruppe 3: Rückgriff auf ERP-Programmbestandteile während der Runtime 49 Die Drittanbietersoftware enthält keinen Code des ERP-Programms, benötigt aber während der Runtime Bestandteile des ERP-Programms, bspw. Bibliotheken, Standardroutinen, Module. Diese werden zur Laufzeit der Drittanbietersoftware in den Arbeitsspeicher des Endkunden geladen und gemeinsam mit dieser kompiliert, so dass ein Object Code entsteht. 1. Urheberrecht a) Schutzfähige Teile eines Computerprogramms gem. § 69a UrhG 50 Wie bei Fallgruppe 2 ist auch bei dieser Form der Softwarenutzung zunächst zu prüfen, ob es sich bei den zur Laufzeit zugeladenen Bestandteilen des ERP-Programms um schutzfähige Teile eines Computerprogramms handelt. Insoweit kann auf die bei Fallgruppe 2 behandelten Grundsätze zurückgegriffen werden (s. IV.1.a) oben). Auch einzelne Bibliotheksroutinen oder Module eines ERP-Programms können schutzfähige Werke gem. § 69a UrhG darstellen. Definitive Aussagen sind hier allerdings nur im Rahmen von Einzelfallbetrachtungen möglich. b) Vervielfältigung gem. § 69c Nr. 1 UrhG 51 Handelt es sich bei den zugeladenen Programmbestandteilen um schutzfähige Werke, so ist im nächsten Schritt zu prüfen, ob es zu einer Vervielfältigung dieser Programmbestandteile kommt und, wenn ja, durch wen diese erstellt wird. Ob es zu einer solchen Vervielfältigung kommt, hängt von der technischen Form des Zusammenwirkens von ERP-Programm und Drittanbietersoftware ab. Wird nur auf Programmbestandteile zurückgegriffen, die bereits in den Arbeitsspeicher des Endkunden geladen sind, so scheidet eine Vervielfältigung gem. § 69c Nr. 1 UrhG aus. Werden die Routinen dagegen erst beim Laden der Drittanbietersoftware in den Arbeitsspeicher geladen, so liegt eine im Grundsatz zustimmungsbedürftige Vervielfältigung der Programmbestandteile vor. Diese wird durch den Endkunden hergestellt, welcher das Drittanbieterprogramm aufruft. c) Bearbeitung oder Umarbeitung gem. § 69c Nr. 2 UrhG 52 In der Verbindung von Drittanbietersoftware und ERP-Programmbestandteilen zur Laufzeit des Programms kann zudem eine Bearbeitung oder Umarbeitung gem. § 69c Nr. 2 UrhG liegen. Die Vorschrift verwen92
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
det den Begriff der Umarbeitung als Oberbegriff und übernimmt insoweit den Wortlaut von Art. 4 Abs. 1 lit. b) der Computerprogrammrichtlinie. Die Übersetzung, Bearbeitung und das Arrangement sind Unterformen der Umarbeitung. Einer Subsumtion unter den einen oder den anderen Begriff bedarf es nicht, da die Rechtsfolgen identisch sind. Beim Recht der Umarbeitung handelt sich um ein weit gefasstes Recht, dem alle Abänderungen eines geschützten Computerprogramms unterfallen, insbesondere auch die Änderung oder die Ergänzung des Quellcodes54. Dabei kann es keine Rolle spielen, ob es zu einer Veränderung oder Ergänzung des geschützten Programms im Source Code kommt oder ob die Veränderung oder Ergänzung erst nach dem gemeinsamen Kompilieren im Object Code erfolgt. Beide Formen des Computerprogramms genießen als „Ausdrucksformen“ des Computerprogramms gem. § 69a Abs. 2 S. 1 UrhG den gleichen Schutz. Wann bei einer Verbindung von zwei Programmen von einer zustim- 53 mungsbedürftigen Umarbeitung der Programme und wann vom Fortbestand von zwei eigenständigen, nebeneinander stehenden Programmen auszugehen ist, wird in der urheberrechtlichen Literatur kaum diskutiert. Relevanz hat die Frage bislang allein im Bereich der Open Source Software, wo sich bei einer Verbindung von zwei Programmen besondere Pflichten für Lizenznehmer ergeben können. Findet die wichtigste Open Source Lizenz, die GNU General Public License, Version 2.0, Anwendung, so ist der Lizenznehmer bei Verbreitung eines „derived work“ dazu verpflichtet, dieses ebenfalls nur unter den Bestimmungen der gleichen Lizenz zu verbreiten55. In der Praxis wird deswegen besonderes Augenmerk darauf verwendet, bei einer Verbindung von Eigenentwicklungen mit GPL-Code eine Gestaltung zu finden, welche verschiedene Möglichkeiten bei der Lizenzierung der Eigenentwicklung lässt. In der Literatur wird hierzu empfohlen, auf eine Trennung der verschiedenen Codebestandteile zu achten. Die technische Trennung allein genügt jedoch nicht, um von zwei eigenständigen Programmen auszugehen, da diese leicht manipuliert werden kann. Deswegen wird für die Annahme eigenständiger Programme zusätzlich gefordert, dass die Programme auch 54 Siehe Dreier in Dreier/Schulze, § 69c Rz. 12 ff.; Grützmacher in Wandtke/ Bullinger, § 69c Rz. 17 ff.; Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, S. 103 ff.; Loewenheim/Spindler in Schricker/Loewenheim, § 69c Rz. 14; Marly, Praxishandbuch Softwarerecht, Rz. 166; vgl. auch OLG Hamburg v. 13.4.2012 – 5 U 11/11, CR 2012, 503 = GRUR-RR 2013, 13 – Replay PSP; KG, ZUM-RD 2011, 544 – Änderung von Firmware durch Software. 55 Siehe Ziffer 2 b) der GNU General Public License, https://www.gnu.org/licenses/old-licenses/gpl-2.0.de.html.
93
Axel Metzger/Peter Hoppen
nach der Verkehrsanschauung inhaltlich-funktional als eigenständig anzusehen sind56. 54 Wendet man diese Grundsätze auf die hier untersuchte Verbindung von ERP-Programm und Anwendungsprogramm entsprechend an, so kommt es zunächst auf die Art der technischen Verbindung der beiden Programme an. Kommt es zur Laufzeit des Programms zu einer Vermengung von Drittanbietersoftware und ERP-Programmbestandteilen im Object Code, so kann hierin eine Umarbeitung der ERP-Programmbestandteile liegen, die zustimmungsbedürftig ist. Dies wird man jedenfalls für den Fall annehmen müssen, in dem die beiden Codebestandteile im Object Code nicht mehr nach Dateien getrennt sind, sondern einen einheitlichen Object Code bilden. Sind dagegen auch nach dem Kompilieren noch getrennte Dateien erkennbar, so ist in der Regel von zwei eigenständigen Programmen auszugehen. Hierfür spricht zum einen die dann noch erkennbare technische Trennung, zum anderen die inhaltlich-funktionale Betrachtungsweise, nach der es sich bei einem ERP-Programm und einem Anwendungsprogramm in der Regel um zwei eigenständige Programme handeln dürfte, so dass auch kein berechtigtes Partizipationsinteresse des ERP-Anbieters gegeben ist. Pauschale Aussagen verbieten sich hierbei allerdings. Um zu definitiven Aussagen zu kommen, muss im Einzelfall die genaue Umsetzung der technischen Verbindung der beiden Programme analysiert und um eine inhaltlich-funktionale Betrachtungsweise ergänzt werden. d) Bestimmungsgemäße Benutzung gem. § 69d Abs. 1 UrhG 55 Liegt nach dem bisher Gesagten im Einzelfall eine (erneute) Vervielfältigung oder eine Umarbeitung der ERP-Programmbestandteile während der Laufzeit des Drittanbieterprogramms vor, so könnte diese gleichwohl zustimmungsfrei möglich sein, wenn es sich um eine „bestimmungsgemäße Benutzung“ der ERP-Programmbestandteile gem. § 69d Abs. 1 UrhG handeln würde. Was unter einer „bestimmungsgemäßen Benutzung“ zu verstehen ist, wurde bereits im Rahmen der Fallgruppe 1 erläutert (s. III.1.b) oben). Sieht man von den konkreten AGB des ERP-Anbieters ab und stellt auf eine dem wirtschaftlichen und technischen Nutzungszweck des betreffenden Programms entsprechende und gewöhnliche Benutzung ab, so wird man ohne besondere Anhaltspunkte in der technischen Gestaltung des ERP-Programms nicht davon ausgehen können,
56 Siehe hierzu eingehend Jaeger/Metzger, Open Source Software – Rechtliche Rahmenbedingungen der Freien Software, 4. Aufl., München 2016, Rz. 47 ff. m.w.N.
94
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
dass eine Vervielfältigung und ein gemeinsames Kompilieren von Drittanbieterprogrammen und ERP-Programmbestandteilen noch von der bestimmungsgemäßen Benutzung umfasst ist. Ein ERP-Programm ist seinem wirtschaftlichen und technischen Nutzungszweck nach dazu bestimmt, die Unternehmensressource zu planen und zu steuern, und zwar so, wie es ausgeliefert wird. Ist es auf einen Client-Server-Betrieb ausgerichtet, so erfolgt die bestimmungsgemäße Nutzung im Unternehmensnetzwerk und auf den Client-Rechnern. Nach der hier vertretenen Auffassung umfasst dies auch das Zusammenwirken mit technisch unabhängigen Drittanbieterprogrammen, die über Schnittstellen mit dem ERP-Programm verbunden sind. Eine Vermengung des Codes des ERPProgramms mit dem Drittanbieterprogramm zur Runtime liegt aber jenseits des normalen wirtschaftlichen und technischen Nutzungszwecks eines solchen Systems und ist deswegen nur mit Zustimmung des ERPAnbieters zulässig. 2. Kartellrecht Für die kartellrechtliche Beurteilung von Beschränkungen der Verwen- 56 dung von entsprechend mit dem ERP-Programm verbundener Drittanbietersoftware kann auf die Fallgruppen 1 und 2 verwiesen werden: Kommt es nicht zu einer erneuten Vervielfältigung der Komponenten des ERP-Programms und liegt auch keine Umarbeitung vor, so finden die zu Fallgruppe 1 entwickelten Grundsätze Anwendung (s. III.2. oben). Liegt dagegen eine zustimmungsbedürftige Vervielfältigung oder Umarbeitung vor, so gelten die zu Fallgruppe 2 dargestellten Grundsätze (s. IV.2. oben). Danach kann in der bloßen Nichterteilung von Lizenzen zu angemessenen Bedingungen für Nutzung der ERP-Programmbestandteile zwar noch kein Missbrauch gesehen werden. Nutzt der ERP-Anbieter seine Urheberrechte an diesen Programmbestandteilen aber gezielt, um Wettbewerber zu behindern, so kann hierin ein Kartellrechtsverstoß liegen. Bedeutung kommt dabei dem Umstand zu, ob es für den Drittanbieter technisch möglich ist, seine Programme anzubieten, ohne auf ERP-Programmkomponenten zurückzugreifen. Ist dies der Fall, so darf der ERPAnbieter den Wettbewerber auf diese Möglichkeit verweisen. Benötigt dieser aber ERP-Programmkomponenten, weil eine Verwendung des Programms sonst gar nicht möglich ist, und liegt dies am Aufbau des ERPProgramms, so kann in der Lizenzverweigerung ein Missbrauch liegen. 3. Vertragsrecht: Verstoß gegen AGB-Vorschriften Hinsichtlich der Inhaltskontrolle der AGB von ERP-Anbietern kann 57 weitgehend auf das zu den Fallgruppen 1 und 2 Gesagte verwiesen wer95
Axel Metzger/Peter Hoppen
den. Untersagen die AGB jedwede Verwendung von Drittanbietersoftware bzw. knüpfen hieran Nachlizenzierungspflichten, so ist die Klausel wegen Verstoß gegen § 307 Abs. 1, Abs. 2 Nr. 1 BGB unwirksam, weil die Klausel dann auch den Fall des bloßen Zusammenwirkens über Schnittstellen erfasst und damit einem der wesentlichen Grundgedanken der §§ 69a ff. UrhG widerspricht. 58 Ist die Klausel dagegen enger gefasst und verbietet oder behindert nur den Rückgriff auf ERP-Programmbestandteile während der Runtime, so kann hierin keine unangemessene Benachteiligung des Endkunden gesehen werden. Wie oben dargestellt, werden dem ERP-Anbieter bei einer entsprechenden Einbindung von Komponenten des ERP-Programms oftmals urheberrechtliche Verbotsrechte zustehen. Ist dies der Fall, so kann eine zusätzliche vertragsrechtliche Absicherung ohnehin nicht als Verstoß gegen § 307 BGB bewertet werden. Da die Abgrenzung zwischen einer Vermengung der Programme (und der hieraus resultierenden Umarbeitung des ERP-Programms gem. § 69c Nr. 2 UrhG) einerseits und der Eigenständigkeit der Programme andererseits oftmals nur schwer möglich ist, muss es dem ERP-Anbieter aber gestattet sein, insoweit eine klare vertragliche Regelung zu treffen, die auch Fälle umfasst, in denen ein urheberrechtlicher Anspruch nicht besteht, weil auch zur Laufzeit weiterhin zwei getrennte Dateien im Object Code erkennbar sind. Wird von der Klausel die Einbindung von Komponenten zur Runtime insgesamt ausgeschlossen, während ein sonstiges Zusammenwirken über Schnittstellen möglich bleibt, so steht die Klausel nicht im Widerspruch zu dem Grundgedanken der §§ 69a ff. UrhG und verstößt dementsprechend auch nicht gegen § 307 BGB. VI. Fallgruppe 4: Reiner Datenbankzugriff 59 Die Drittanbietersoftware in dieser Fallgruppe greift direkt auf die Datenbank des ERP-Programms zurück und entnimmt dieser Daten des Endkunden. Die Drittanbietersoftware enthält keine Bestandteile des ERP-Programms. Sie wirkt auch nicht mit Softwarekomponenten des ERP-Programms zusammen, sondern entnimmt die Daten direkt aus der Datenbank. Durch den Endkunden muss für die Datenentnahme das Datenbanksystem gestartet werden, damit überhaupt auf die Datenbank zugegriffen werden kann. Das ERP-Programm muss hierfür aber nicht verwendet werden. 60 Die Argumentation des Softwareherstellers in einem solchen Anwendungsfall ist, dass die Daten über Funktionen der ERP-Software generiert wurden. Zudem seien die Datenstrukturen (also die Datenforma96
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
te) schützenswert. Aus technischer Sicht kann dazu angemerkt werden, dass es dem Anwender fast nie auf exakt diese Strukturen ankommt, sondern lediglich auf seine eigenen Geschäftsdaten. Sein Interesse liegt in der Interoperabilität von Systemen. Im Prinzip wäre ihm egal, wie seine Geschäftsdaten in dem ERP-System genau strukturiert sind. Eventuell schützenswerte Datenstrukturen werden dabei beim Zugriff nur insofern zur Kenntnis genommen, weil ein Zugriff technisch nicht anders erfolgen kann. Meistens erfolgt ohnehin direkt nach dem Zugriff eine Transformation in die Datenstrukturen des Zielsystems. 1. Urheberrecht a) Vervielfältigung gem. § 69c Nr. 1 UrhG Da die Softwarekomponenten des ERP-Programms von der Drittanbie- 61 tersoftware nicht verwendet werden, fehlt es an einer Nutzung der Software i. S. v. § 69c Nr. 1 UrhG. Es finden keine Vervielfältigungen statt, so dass es aus dem Gesichtspunkt der ERP-Software auch nicht um zustimmungsbedürftige Handlungen geht57. Es stellt sich deswegen auch nicht die Frage, ob es sich insoweit um eine bestimmungsgemäße Benutzung des ERP-Programms handelt und ob entgegenstehende Vereinbarungen gegen die §§ 69d Abs. 1, 69g Abs. 2 UrhG verstoßen. Sofern der ERP-Anbieter auch Lizenzgeber des Datenbanksystems ist, kann es zu einer für das Ablaufenlassen des Datenbanksystems erforderlichen Vervielfältigung gem. § 69c Nr. 1 UrhG kommen. Die Vervielfältigung ist dann aber Teil der bestimmungsgemäßen Benutzung gem. § 69d Abs. 1 UrhG, weil es zur normalen Verwendung eines Datenbanksystems gehört, dieses für die Entnahme von Daten zu verwenden, auch wenn hierfür eine Drittanbietersoftware über eine Schnittstelle angebunden wird. Insofern kann auf die Fallgruppe 1 verwiesen werden (s. III.1.a) oben). Ein berechtigtes Partizipationsinteresse des ERP-Anbieters ist in dieser Fallgruppe nicht erkennbar. b) Vervielfältigung der Daten gem. §§ 16 Abs. 1 und 87b Abs. 1 UrhG Durch den Zugriff auf die Datenbank und die Entnahme von Daten er- 62 stellt der Endkunde eine Vervielfältigung der Daten. Im Hinblick auf die entnommenen, strukturierten Unternehmensdaten ist ein Schutz nach dem Urheberrechtsgesetz denkbar. Zum einen kommt echter Urheberrechtsschutz gem. § 4 Abs. 2 UrhG in Betracht, sofern es sich bei der Auswahl oder Anordnung der Daten um eine persönlich-geistige Schöp-
57 So auch Oehlschlägel/Schmidt, ITRB 2015, 72, 73.
97
Axel Metzger/Peter Hoppen
fung handelt. Dies dürfte bei einer Sammlung von Unternehmensdaten, die aus einem ERP-Programm entnommen werden, aber eher selten der Fall sein, weil die Auswahl und Anordnung nicht von einer natürlichen Person, sondern vom Algorithmus des Datenbanksystems vorgenommen wird. Es fehlt also bereits an einer persönlichen Schöpfung. Läge eine solche vor, weil die Datenbanksoftware nur als Werkzeug von einer natürlichen Person verwendet wird, so wären die Angestellten des Unternehmens die Urheber des Werks und nicht der Anbieter des ERP-Programms. Dem ERP-Anbieter steht auch kein Datenbankherstellerrecht gem. § 87a UrhG zu. Unterstellt man, dass für die Herstellung des Datensatzes, den ein Unternehmen entnimmt, eine „wesentliche Investition“ gem. § 87a Abs. 1 S. 1 UrhG erforderlich war, so würde auch insoweit das Unternehmen als Hersteller Inhaber eines solchen Rechts sein und nicht der Anbieter des ERP-Programms. Urheberrechtliche Ansprüche im Hinblick auf die entnommenen strukturierten Daten als solche scheiden folglich aus. 63 Fraglich ist insoweit allein, ob das Dateiformat, in dem die Daten aus der Datenbank entnommen werden, urheberrechtlich geschützt sein kann mit der Folge, dass der ERP-Anbieter insoweit urheberrechtliche Ansprüche geltend machen könnte58. Als Dateiformat bezeichnet man die Syntax und Semantik von Daten innerhalb einer Datei. Die Kenntnis des Dateiformats ist erforderlich, um die in einer Datei gespeicherten Informationen lesen zu können. Das Betriebssystem kann anhand des Dateiformats das Anwendungsprogramm auswählen, welches die in der Datei gespeicherten Informationen verarbeiten und darstellen kann. Dateiformate können als Industriestandards öffentlich bekannt und frei nutzbar sein, sie können aber auch von einzelnen Herstellern unter Verschluss gehalten werden, um Nutzer an die eigenen Programme zu binden. Ein Rechtsschutz eines Dateiformats als Computerprogramm scheidet nach der Rechtsprechung des EuGH aus59. Der EuGH hat allerdings auch klargestellt, dass ein Urheberrecht nach den allgemeinen Grundsätzen der Informationsgesellschafts-Richtlinie 2001/29/EG für Dateiformate in Frage kommen kann, sofern die Voraussetzungen hierfür vorliegen60. Es wird in der Literatur jedoch zutreffend angemerkt, dass sich der EuGH bereits bei der parallelen Fragestellung zum Urheberrechtsschutz von
58 Siehe zum Folgenden Metzger in Conrad/Grützmacher, Recht der Daten und Datenbanken im Unternehmen, S. 250 f. 59 EuGH v. 2.5.2012 – C-406/10, ITRB 2012, 147 = CR 2012, 428 m. Anm. Heymann – SAS Institute, Ls. 1 und Rz. 39 ff. 60 EuGH v. 2.5.2012 – C-406/10, ITRB 2012, 147 = CR 2012, 428 m. Anm. Heymann – SAS Institute, Rz. 45.
98
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
grafischen Benutzeroberflächen sehr restriktiv geäußert und alle Elemente von der Schutzfähigkeit ausgenommen hat, die durch eine technische Funktion gekennzeichnet sind61. Wendet man diesen Test auf das Dateiformat an, so wird man hier kaum zur Schutzfähigkeit gelangen können, weil das Dateiformat letztlich gänzlich von technischen Überlegungen geprägt ist. Dies reduziert den Gestaltungsspielraum und damit die Möglichkeit, Urheberrechtsschutz zu erlangen62. Urheberrechtliche Ansprüche von ERP-Anbietern gegen einen direkten Datenbankzugriff kommen dementsprechend nur in Ausnahmefällen in Frage, in denen das Dateiformat die Schwelle eines individuellen Werks erreicht. 2. Kartellrecht Untersagt der ERP-Anbieter vertraglich die direkte Datenentnahme 64 mittels einer Drittanbietersoftware, ohne dass bei einer solchen Datenentnahme auch urheberrechtlich geschützte Inhalte des ERP-Anbieters genutzt werden, so handelt es sich um eine bloße Variante von Fallgruppe 1. Auch beim Verbot des direkten Datenbankzugriffs oder bei einer kostspieligen Nachlizenzierungspflicht versucht der ERP-Anbieter seine Marktmacht auf dem Markt für ERP-Programme dafür zu nutzen, den Wettbewerb auf dem benachbarten Markt für Anwendungsprogramme zu behindern. Aus kartellrechtlicher Sicht macht es dabei keinen Unterschied, ob die Drittanbietersoftware Programmkomponenten des ERP-Programms mittels einer Schnittstelle ansteuert und sich das vertragliche Verbot dementsprechend hierauf bezieht oder ob die Drittanbietersoftware direkt auf die Datenbank-Schicht zugreift. Insofern kann auf die zu Fallgruppe 1 dargestellten Grundsätze zurückgegriffen werden (s. III.2. oben). 3. Vertragsrecht: Verstoß gegen AGB-Vorschriften Entsprechende Klauseln sind zugleich im Hinblick auf § 307 BGB als 65 unwirksam zu bewerten63. Zwar fehlt es insoweit an Regelungen im Urheberrechtsgesetz, die als gesetzliches Leitbild i. S. d. § 307 Abs. 2 Nr. 1 BGB herangezogen werden können, denn der Endkunde nimmt ja gerade
61 Marly, GRUR 2012, 773, 779 unter Verweis auf die vom EuGH in der SASInstitute-Entscheidung selbst in Bezug genommene Entscheidung EuGH v. 22.12.2010 – C-393/09, CR 2011, 221 – Bezpecnostní softwareová asociace/ Ministerstvo kultury, Rz. 48 f. 62 So Marly, GRUR 2012, 773, 779. 63 So auch Oehlschlägel/Schmidt, ITRB 2015, 72, 75; Redeker, ITRB 2017, 44, 45 f.
99
Axel Metzger/Peter Hoppen
keine bestimmungsgemäße Benutzung der ERP-Software vor, wenn er Daten aus dem Datenbanksystem entnimmt, so dass ein vertragliches Verbot auch nicht am Maßstab der §§ 69d Abs. 1, 69g Abs. 2 UrhG gemessen werden kann. Insofern unterscheidet sich die hier behandelte Fallkonstellation von der Fallgruppe 1. Das Verbot des direkten Datenbankzugriffs stellt gleichwohl eine unangemessene Benachteiligung dar, weil wesentliche Rechte des Endkunden, die sich aus der Natur des Vertrags ergeben, so einschränkt werden, dass die Erreichung des Vertragszwecks letztlich von der Zustimmung des ERP-Anbieters abhängt. Verbietet der ERP-Anbieter dem Endkunden die Nutzung der mit dem ERP-Programm erhobenen und verarbeiteten Daten, so gefährdet dies die Erreichung des Vertragszwecks des Endkunden, welcher durch die Verwendung des ERPProgramms die Unternehmensressourcen erfassen und entsprechende Planungen vornehmen möchte. Dass ihm der Zugriff auf die Daten bei Verwendung des lizenzierten ERP-Programms gestattet bleibt, ändert an diesem Befund nichts, denn letztlich hängt der Zugriff auf die Unternehmensdaten auch dann von der Zustimmung des ERP-Anbieters ab. Entsprechende Klauseln erweitern letztlich das Zustimmungserfordernis auf Gegenstände, an denen der ERP-Anbieter keine Immaterialgüterrechte besitzt, sondern die allein dem Endkunden zustehen. Eine solche Gestaltung überschreitet die Grenze des Zulässigen gem. § 307 Abs. 1, Abs. 2 Nr. 2 BGB. VII. Fazit und Ausblick auf die Rechtsdurchsetzung 66 Nutzer von ERP-Programmen sind vielfach darauf angewiesen, die Standardfunktionalität der ERP-Software mittels spezieller Anwendungsprogramme zu ergänzen oder externe Systeme über Schnittstellen an das ERP-Programm anzubinden. Hier sehen sich die ERP-Anbieter dem Wettbewerb durch Drittanbieter ausgesetzt, die Nutzern entsprechende Programme anbieten, zum Teil verdanken die ERP-Anbieter ihre Marktdominanz auch der Fülle an Drittanbietersoftware. Versuche von ERP-Anbietern, eine solche „indirekte Nutzung“ des ERP-Programms durch entsprechende Lizenzgestaltungen zu verhindern oder mit hohen Nachlizenzierungsforderungen zu belegen, können die Drittanbietersoftware so verteuern, dass Abstand von den Angeboten der Drittanbieter genommen wird. Dies schränkt den Wettbewerb für spezielle Anwendungen für ERP-Programme ein. Die genannten Vertragsklauseln in den ERP-Lizenzverträgen, welche die Verwendung von Drittanbietersoftware beschränken, sind allerdings in vielen Fällen unwirksam. Sie können gegen zwingende Bestimmungen des Urheberrechts, gegen europäisches und deutsches Kartellrecht und gegen die AGB-Bestimmungen des BGB 100
Zulässigkeit von Nutzungsbeschränkungen in Lizenzverträgen
verstoßen. Hierbei kommt es jedoch auf die konkrete Gestaltung der Drittanbietersoftware, die Art des Zusammenwirkens mit dem ERP-Programm und die jeweilige Marktposition des ERP-Anbieters an. Erweist sich eine Vertragsgestaltung als unwirksam, so bedeutet dies 67 zunächst, dass sich der ERP-Anbieter nicht auf entsprechende Klauseln gegenüber seinen Endkunden berufen kann. Die Ansprüche von Endkunden und Drittanbietern können hier nur als Ausblick skizziert werden. Ansprüche von Endkunden gegen den Anbieter, eine solche Lizenzpraxis zu unterlassen, sind auf Grundlage von § 33 Abs. 1 und Abs. 3 GWB denkbar. Die Vorschriften gelten auch bei Verstößen gegen die Art. 101, 102 AEUV. Zudem sind Feststellungsklagen hinsichtlich der Unwirksamkeit von Vertragsklauseln möglich. Kartellrechtliche Ansprüche können auch von den Drittanbietern selbst geltend gemacht werden. Sie sind als Wettbewerber „Betroffene“ gem. § 33 GWB und können dementsprechend Unterlassungs- und Schadensersatzansprüche geltend machen. Die Drittanbieter können gem. § 33 Abs. 2 GWB auch gemeinsam im Rahmen einer Verbandsklage vorgehen. Drittanbieter könnten zudem Ansprüche nach dem UWG wegen einer gezielten Behinderung durch den ERP-Anbieter gem. § 4 Nr. 4 UWG geltend machen. Möglich wäre auch hier eine Verbandsklage auf Unterlassung gem. § 8 Abs. 1, Abs. 3 Nr. 2 UWG. Wer die indirekte Nutzung lizenzrechtlich ausschließt oder beschränkt, kann also durchaus Adressat von Ansprüchen von Kunden und Drittanbietern werden.
101
DNA-Auswertung in der Black Box? Gerichtliche Beweisführung durch statistische Computerprogramme Jan Mysegades* Abstract I. Einführung II. Bisherige DNA-Auswertung in Deutschland 1. Grundkonzept 2. Bekannte Fehler 3. Statistische Bewertung 4. Vorgehen bei Mischspuren III. DNA-Auswertung durch statistische Mustererkennung
1. Überblick über die Funktionsweise 2. Validierung und Verifikation 3. Rezeption in der Praxis IV. Nutzbarkeit der Programme in Deutschland 1. Grenze der Zulässigkeit als Beweismittel 2. Prüfungspflicht des Tatgerichts V. Ausblick und Fazit
Literaturübersicht: Andrieu/Freitas/Doucet; Jordan, An Introduction to MCMC for Machine Learning, Machine Learning 2003, S. 5–43; Baur/Fimmers/Schneider, Beweiswürdigung bei DNA-Analyse, Anmerkung zu BGH, Beschluss vom 21.01.2009 – 1 StR 722/08, StV 2010, S. 175–177; Beck, Die DNA-Analyse im Strafverfahren, De lege lata et ferenda, 2015; Bender/Nack/Treuer, Tatsachenfeststellung vor Gericht, 4. Auflage, 2014; Bleka/Storvik/Gill, EuroForMix: An open source software based on a continuous model to evaluate STR DNA profiles from a mixture of contributors with artefacts, Forensic science international. Genetics 21 (2016), S. 35–44; Bleutge, Die Hilfskräfte des Sachverständigen – Mitarbeiter ohne Verantwortung?, NJW 1985, S. 1185–1191; Bodner/Bastisch/Butler; Fimmers, et al., Recommendations of the DNA Commission of the International Society for Forensic Genetics (ISFG) on quality control of autosomal Short Tandem Repeat allele frequency databasing (STRidER), Forensic science international. Genetics 24 (2016), S. 97–102; Bright/Taylor/McGovern; Cooper, et al., Developmental validation of STRmix, expert software for the interpretation of forensic DNA profiles, Forensic Science International: Genetics 23 (2016), S. 226–239; Buckleton/ Bright/Taylor (Hrsg.), Forensic DNA evidence interpretation, 2. Auflage, 2016; Chessman, A „Source“ of Error: Computer Code, Criminal Defendants, and the * Der Autor ist Forschungsreferent am Deutschen Forschungsinstitut für öffentliche Verwaltung Speyer im Programmbereich Digitalisierung; [email protected].
103
Jan Mysegades Constitution, California Law Review 105 (2017), S. 179–228, http://scholarship. law.berkeley.edu/cgi/viewcontent.cgi?article=4350&context=californialawreview (13.04.2017); Coble/Buckleton/Butler; Egeland, et al., DNA Commission of the International Society for Forensic Genetics, Recommendations on the validation of software programs performing biostatistical calculations for forensic genetics applications, Forensic science international. Genetics 25 (2016), S. 191–197; Eisenberg, Beweisrecht der StPO, 9. Auflage, 2015; Erb/Esser/Franke/ Graalmann-Scheerer, et al. (Hrsg.), Die Strafprozessordnung und das Gerichtsverfassungsgesetz, Grosskommentar. Zweiter Band, §§ 48–93, 26. Auflage, 2008 (zitiert: Löwe-Rosenberg); Executive Office of the President, Report to the President – Forensic Science in Criminal Courts: Ensuring Scientific Validity of Feature-Comparison Methods, September 2016, https://obamawhitehouse.archives. gov/sites/default/files/microsites/ostp/PCAST/pcast_forensic_science_report_ final.pdf (08.12.2016); Federal Judicial Center (Hrsg.), Reference Manual on Scientific Evidence, 3. Aufl., 2011; Gill/Brenner/Buckleton; Carracedo, et al., DNA commission of the International Society of Forensic Genetics, Recommendations on the interpretation of mixtures, Forensic science international 160 (2006), S. 90–101; Grabenwarter/Pabel, Europäische Menschenrechtskonvention, Ein Studienbuch, 6. Auflage, 2016; Greenspoon/Schiermeier-Wood/Jenkins, Establishing the Limits of TrueAllele® Casework, A Validation Study, Journal of forensic sciences 60 (2015), S. 1263–1276; Herrmann/Saternus (Hrsg.), Biologische Spurenkunde, Band 1, Kriminalbiologie, 2007; Hicks/Buckleton/Bright; Taylor, Chapter 2: A Framework for Interpreting Evidence, in: Buckleton, John S./Bright, Jo-Anne/Taylor, Duncan (Hrsg.), Forensic DNA evidence interpretation, 2. Auflage, Boca Raton, 2016, S. 37–86; Kaye/Sensabaugh, Reference Guide on DNA Identification Evidence, in: Federal Judicial Center (Hrsg.), Reference Manual on Scientific Evidence, 3. Aufl., Washington, DC, 2011, S. 129–210; Kloosterman/Sjerps/Quak, Error rates in forensic DNA analysis: definition, numbers, impact and communication, Forensic science international. Genetics 12 (2014), S. 77–85; Kühne, Strafprozessrecht, Eine systematische Darstellung des deutschen und europäischen Strafverfahrensrechts, 9. Auflage, 2015; Manabe/Mori/ Kawai; Ozeki; Tamaki, Mixture interpretation: Experimental and simulated reevaluation of qualitative analysis, Legal medicine 15 (2013), S. 66–71; Müller/ Schlothauer (Hrsg.), Münchener Anwaltshandbuch Strafverteidigung, 2. Auflage, 2014 (zitiert: MAH Strafverteidigung); Paoletti/Doom/Krane; Raymer; Krane, Empirical analysis of the STR profiles resulting from conceptual mixtures, Journal of forensic sciences 50 (2005), S. 1361–1366; Perlin/Legler/Spencer; Smith, et al., Validating TrueAllele® DNA mixture interpretation, Journal of forensic sciences 56 (2011), S. 1430–1447; Pommer, Die DNA-Analyse im Strafprozess – Problemfelder der §§ 81e ff. StPO, JA 2007, S. 621–627; Richey, The Evolution of Markov Chain Monte Carlo Methods, The American Mathematical Monthly 117 (2010), S. 383–413, http://stat.wharton.upenn.edu/~stjensen/stat542/lecture14. mcmchistory.pdf (08.05.2017); Schmidt/Hummel, Teil 14: DNA-Analysen in der forensischen Fallarbeit, in: Herrmann, Bernd/Saternus, Klaus-Steffen (Hrsg.), Biologische Spurenkunde, Band 1, Kriminalbiologie, Berlin, Heidelberg, 2007; Schneider, Der Einsatz bildgebender Verfahren im Strafprozess, 1. Aufl., 2010; Schneider (Hrsg.), Münchener Kommentar zur Strafprozessordnung, Band 2: §§ 151–332 StPO, 1. Auflage, 2016 (zitiert: MünchKomm-StPO); Schneider/
104
DNA-Auswertung in der Black Box? Anslinger/Eckert; Fimmers; Schneider, Erläuterungen zu den wissenschaftlichen Grundlagen biostatistischer Wahrscheinlichkeitsberechnungen im Rahmen von DNA-Spurengut, NStZ 2013, S. 693–697; Schneider/Fimmers/Schneider; Brinkmann, Allgemeine Empfehlungen der Spurenkommission zur Bewertung von DNA-Mischspuren, NStZ 2007, S. 447–450; Steele/Balding, Statistical Evaluation of Forensic DNA Profile Evidence, Annual Review of Statistics and Its Application 1 (2014), S. 361–384, http://www.annualreviews.org/doi/pdf/10.1146/ annurev-statistics-022513–115602 (21.06.2017); Taylor/Bright/Buckleton, Chapter 1: Biological Basis for DNA Evidence, in: Buckleton, John S./Bright, Jo-Anne/Taylor, Duncan (Hrsg.), Forensic DNA evidence interpretation, 2. Auflage, Boca Raton, 2016, S. 1–86; Chapter 9: The Continuous Model, in: Buckleton, John S./Bright, Jo-Anne/Taylor, Duncan (Hrsg.), Forensic DNA evidence interpretation, 2. Auflage, Boca Raton, 2016, S. 277–314; Taylor/Bright/Buckleton, Commentary: A „Source“ of Error: Computer Code, Criminal Defendants, and the Constitution, Frontiers in genetics 8 (2017), S. 33; Thompson/Mueller/ Krane, Forensic DNA Statistics: Still Controversial in Some Cases, The Champion, S. 12–23; Ulbrich/Anslinger/Bäßler; Eckert, et al., Gemeinsame Empfehlungen der Projektgruppe „Biostatistische DNA-Berechnungen“ und der Spurenkommission zur biostatistischen Bewertung von DNA-analytischen Befunden, NStZ 2017, S. 135–140.
Abstract Vor anglo-amerikanischen Gerichten werden in den letzten Jahren vermehrt Computerprogramme zur Auswertung solcher DNA-Spuren verwendet, die menschliche Sachverständige für unauswertbar erklären würden. Der Beitrag* erläutert die biologischen, statistischen und informatischen Rahmenbedingungen, unter denen die Programme zur Anwendung kommen. Darüber hinaus zeigt er auf, wie deutsche Strafgerichte mit ihnen umgehen sollten und analysiert, welche Maßnahmen der Staat ergreifen könnte, um sie grundrechtsschonend in den deutschen Strafprozess einzuordnen.
* Der Beitrag beruht auf dem Vortrag und Tagungsbeitrag des Verfassers zur Herbstakademie der Deutschen Stiftung für Recht und Informatik 2017 in Heidelberg. Er findet sich in gekürzter Form in Taeger (Hrsg.), Recht 4.0 – Innovationen aus den rechtsinformatischen Laboren, Edewecht 2017, S. 717 ff. sowie in einer um datenschutzrechtliche Aspekte erweiterten Form in CR 2018, 225 ff. Der Verfasser dankt Herrn Prof. Dr. Jürgen Taeger für die freundliche Genehmigung zur Zweitveröffentlichung, Frau Dr. Stefanie Grethe vom LKA Mainz für wertvolle Hinweise zu den biologischen Grundlagen sowie Herrn Michael Kolain und Herrn Maximilian Pika für hilfreiche Anmerkungen.
105
Jan Mysegades
I. Einführung 1 DNA-Auswertungen gehören seit Ende der 80er Jahre1 zum Standard-Repertoire deutscher Strafgerichte. Ihre Darstellung in Krimiserien hinterlässt den Eindruck völliger Unfehlbarkeit – im Widerspruch zur Realität. Neben spektakulären Fällen wie dem „Phantom von Heilbronn“2 kommen auch wesentlich unauffälligere Fehlerquellen in Betracht. Die klassische Methode des biochemischen Abgleichs von Tatortspuren mit Blutproben des Beschuldigten kann im Idealfall die Identität des Spurenverursachers mit hoher Sicherheit feststellen: Sie ergibt eine sehr geringe Wahrscheinlichkeit dafür, dass eine andere Person die Spur verursacht haben könnte3. An ihre Grenzen stoßen die Methoden jedoch dort, wo keine vollständigen DNA-Sätze (degenerierte Proben) oder die DNA mehrerer Menschen (kontaminierte Proben oder Mischspuren) in einer Probe auftauchen4. 2 Um mit solchen Grenzfällen besser umgehen zu können und die Fehlerquote zu minimieren, haben Wissenschaftler Computerprogramme auf der Grundlage statistischer Modelle entwickelt, die auch in kommerziellen Big-Data-Zusammenhängen zum Einsatz kommen5. In der deutschen Gerichtspraxis ist die neue Software bisher (noch) nicht angekommen6.
1 BGH v. 21.8.1990 – 5 StR 145/90, NJW 1990, 2440 (2440) = BGHSt 37, 157 (ohne Sachverhalt) betrifft einen Mord von 1988. 2 Näheres hierzu bei Neuhaus, in: MAH Strafverteidigung, 2. Aufl., 2014, § 62 Kriminaltechnik aus der Perspektive der Verteidigung, Rz. 28, Fn. 127; das „Phantom“ hat es zu internationaler Berühmtheit gebracht und taucht auch im Bericht des Executive Office of the President, Report to the President – Forensic Science in Criminal Courts: Ensuring Scientific Validity of Feature-Comparison Methods, 2016, S. 73, Fn. 195 auf. 3 Typischerweise seltener als 1 zu 1 Billion, Schneider/Anslinger/Eckert et al., NStZ 2013, S. 693 (695). Vgl. beispielhaft eine Wahrscheinlichkeit von 1 zu 256 Billiarden, dass die Spur von jemandem anderes als dem Angeklagten verursacht wurde bei BGH v. 21.1.2009 – 1 StR 722/08, NJW 2009, 1159; bei BGH, NStZ 2016, 490 sogar 1 zu 300 Trilliarden. 4 Vgl. Baur/Fimmers/Schneider, StV 2010, S. 175 (176 f.); Schneider/Fimmers/ Schneider et al., NStZ 2007, S. 447 ff. 5 So etwa die Programme STRmix aus Neuseeland und TrueAllele aus den USA; Übersicht bei Steele/Balding, Annual Review of Statistics and Its Application 1 (2014), S. 361 (376). 6 Auf Fortbildungsveranstaltungen für Rechtsmediziner und kriminaltechnische Institute finden sie sich allerdings bereits im Programm, vgl. die Vorstellung von STRmix beim 37. Spurenworkshop 2017, https://www.r-km.de/Spurenworkshop2017/SW37%20FinalProgramm%20Uebersicht.pdf (27.4.2018).
106
DNA-Auswertung in der Black Box?
II. Bisherige DNA-Auswertung in Deutschland 1. Grundkonzept Um zu verstehen, worin der Mehrwert der computergestützten Auswer- 3 tung von DNA-Spuren liegt, lohnt ein Blick auf das bisher angewendete Auswertungsverfahren: Es folgt der Grundidee, die DNA7 der beiden zu vergleichenden Proben durch Enzyme an klar bestimmten Stellen in Fragmente zu zerschneiden. In diesen liegen von Mensch zu Mensch häufig unterschiedliche Wiederholungen von Basenfolgen vor8. Mittlerweile untersucht man relativ kurze „STR“-Fragmente9. Die variablen Stränge werden anschließend auf ihre Länge gemessen, um sie später mit den repräsentativ ermittelten empirischen Häufigkeitsdaten einer Vergleichspopulation zu vergleichen. Modifiziert wird diese Grundidee heute durch die biotechnische Multiplikation der vorhandenen DNA durch eine „Polymerase Chain Reaction“ – kurz PCR.10 Dabei lassen sich minimale DNA-Spuren durch eine Art Kopie-Enzym so stark vervielfältigen, dass eine Auswertung bislang unverwertbarer Spuren möglich wird. Die Multiplikation und Untersuchung von 16 STR-Systemen hat die deutsche Rechtsprechung als „standardisiertes Verfahren“ anerkannt, für das 7 Die DNA eines Menschen besteht aus einer Abfolge von Basenkombinationen der Basen Adenin, Thymin, Cytosin und Guanin, welche die Erbinformationen speichert. Große Teile der menschlichen DNA erhalten keine feststellbaren Erbinformationen (sog. nicht-kodierende Bereiche). An diesen Stellen unterscheidet sich die DNA zweier Menschen deutlich, sodass diese Grundlage der DNA-Untersuchungen zur Identitätsfeststellung sind; Beck, Die DNAAnalyse im Strafverfahren, 2015, S. 50, 55, 58, 62 m.w.N.; vgl. auch Krause, in: Löwe-Rosenberg, StPO, 26. Aufl., 2008, § 81e, Rz. 7 m.w.N.; Bastisch/ Schmitter, in: MAH Strafverteidigung, 2. Aufl., 2014, § 71 DNA-Analyse, Rz. 7 ff.; Pommer, JA 2007, S. 621 (622); instruktiv mit Abbildung Schmidt/ Hummel, Teil 14: DNA-Analysen in der forensischen Fallarbeit, in: Herrmann/Saternus (Hrsg.), Biologische Spurenkunde, Band 1, 2007, S. 280 f. 8 Beck (Fn. 7), S. 69 m.w.N. in Fn. 282. 9 Kurz für „Short Tandem Repeats“, die teilweise 100mal kürzer sind als die früher untersuchten Fragmente. Die Messung, welche STR-Fragmente in welcher Menge in der multiplizierten Probe enthalten sind, geschieht nach einer Markierung der einzelnen Stränge durch ein hierauf spezialisiertes Laser-Messgerät, vgl. Schmidt/Hummel (Fn. 7), S. 284 ff., 312 f. sowie Kaye/Sensabaugh, Reference Guide on DNA Identification Evidence, in: Federal Judicial Center (Hrsg.), Reference Manual on Scientific Evidence, 3. Aufl., 2011, S. 129 (144 f.) und Taylor/Bright/Buckleton, Chapter 1: Biological Basis for DNA Evidence, in: Taylor/Bright/Buckleton (Hrsg.), Forensic DNA evidence interpretation, 2. Aufl., 2016, S. 1 (4 f.). 10 Hierzu instruktiv Schmidt/Hummel (Fn. 7), S. 283 f., 304; Beck (Fn. 7), S. 65 ff. m.w.N.
107
Jan Mysegades
das Tatgericht im Regelfall keine näheren Erläuterungen in ihr Urteil aufnehmen muss11. 2. Bekannte Fehler 4 Dieses Verfahren weist jedoch einige bekannte Fehler auf. Leicht verständlich ist etwa das Problem, dass eine Multiplizierung der in einer Probe vorhandenen DNA logisch auch zu einer Multiplizierung etwaiger Verunreinigungen führt. Insgesamt führt die exponentiell multiplizierende Kettenreaktion PCR dazu, dass Fehler bei den ersten wenigen Kopien zu starken Ausschlägen nach oben oder unten in der Enduntersuchung führen. Hinzu kommen in der biochemischen Multiplikation und Messung angelegte Fehlerquellen, die sog. Artefakte, also scheinbare STR-Stränge erzeugen oder existierende Stränge überdecken oder herausfallen lassen. Ein anschauliches Beispiel sind „stutter peaks“12. Ursache für diese ist vermutlich ein Verrutschen der multiplizierenden Enzyme bei der PCR um wenige Basen und die daraus folgende Vervielfältigung eines STR-Strangs, der etwas kürzer oder länger ist als der eigentlich zu kopierende Strang13. Bei der abschließenden Messung tauchen daher solche „gestotterten“, nur leicht kürzeren Stränge in geringerer Menge kurz vor dem eigentlich zu untersuchenden STR-Strang auf. Die Gefahr liegt dabei darin, dass dieser – in der Tatortprobe eigentlich nicht existierende – „stutter peak“ in einer Mischspur auf einen nicht beteiligten Verursacher schließen lassen könnte. Zu allen bekannten Fehlern gibt es umfangreiche Forschung zu den Gründen und insbesondere zur Wahrscheinlichkeit ihres Vorkommens14. 3. Statistische Bewertung 5 Darauf aufbauend wird die durch die Messverfahren gemessene Länge der einzelnen DNA-Fragmente in einem letzten Schritt statistisch bewertet. Dazu vergleicht der Sachverständige die aufgefundene Kombination verschieden langer STR-Fragmente mit Datenbanken, die repräsentative Daten zu den Längen und Kombinationen der gleichen Fragmente welt-
11 BGH, NStZ 2013, 177 (178). 12 Typisches Auftreten von stutter peaks beschrieben bei Schneider/Fimmers/ Schneider et al. (Fn. 4), S. 448. 13 Schmidt/Hummel (Fn. 7), S. 307; Taylor/Bright/Buckleton (Fn. 9), S. 24. 14 Vgl. die Zusammenstellung bei Taylor/Bright/Buckleton (Fn. 9), S. 15 ff.; für stutter und drop-out siehe Gill/Brenner/Buckleton et al., Forensic science international 160 (2006), S. 90 (95 ff.).
108
DNA-Auswertung in der Black Box?
weit oder für bestimmte Regionen enthalten15. Das Ergebnis der statistischen Auswertung wird heute üblicherweise als „Likelihood-Quotient“ (LQ) angegeben, der aussagt, wie viel mehr wahrscheinlich die (Anklage-)Hypothese der Herkunft von Tatortspur vom Angeklagten gegenüber der (Verteidiger-)Hypothese der Herkunft der Spur von einem zufälligen, nicht eng verwandten anderen Menschen ist16. Mit einer steigenden Zahl der übereinstimmenden Fragmentlängen zwischen Tatort- und Angeklagtenprobe sinkt die Wahrscheinlichkeit, dass die Tatortprobe von einem unbekannten Dritten stammt17. Die statistische Hochrechnung ergibt im Optimalfall ein einzigartiges Profil18. Die hierbei vorzunehmende Rechnung ist auch bei einfach gelagerten Spuren komplex und muss Besonderheiten des Einzelfalls wie die sichere Kenntnis eines der Verursacher einer Mehrpersonen-Spur oder einen vorherigen Datenbanktreffer, der die Anfangswahrscheinlichkeit der statistischen Berechnung beeinflusst, berücksichtigen. Wichtig zu beachten ist, dass die ausgegebene Wahrscheinlichkeit keineswegs eine objektive naturwissenschaftliche Tatsache, sondern eine „subjektive“ Wahrscheinlichkeitsangabe ist, die auf dem jetzigen Wissen über die Proben und die Verbreitungswahrscheinlichkeit in der Bevölkerung basiert19. 4. Vorgehen bei Mischspuren Finden sich in einer Tatortprobe mehr DNA-Stränge als einer Person zu- 6 geordnet werden können, verkompliziert sich der statistische Abgleich 15 Etwa die Datenbank STRidER, die vom European Network of Forensic Science Institutes zur Verfügung gestellt wird; vgl. Bastisch/Schmitter, in: MAH Strafverteidigung, 2. Aufl., 2014, § 71 DNA-Analyse, Rz. 61. Eine anschauliche Übersicht verschiedener Datenbanken findet sich bei Bodner/Bastisch/Butler et al., Forensic science international. Genetics 24 (2016), S. 97 (98). 16 Teilweise auch „likelihood ratio“ (LR), vgl. etwa die abstrakte Muster-Darstellung bei Ulbrich/Anslinger/Bäßler et al., NStZ 2017, S. 135 (138 f.); vgl. auch Schneider/Fimmers/Schneider et al. (Fn. 4), S. 448; Gill/Brenner/Buckleton et al. (Fn. 14), S. 90 f. 17 Vgl. die anschauliche Übersicht bei Schmidt/Hummel (Fn. 7), S. 287, vgl. auch S. 288 f. Bei 16 übereinstimmenden STR-Fragmenten, die wiederum selten vorkommen, kann die Wahrscheinlichkeit, dass die Tatortprobe vom Angeklagten stammt, bis zu ca. 300 Trilliarden mal höher sein als dass sie von einem unbekannten, nicht verwandten Dritten stammt, vgl. etwa BGH, NStZ 2016, 490. 18 Beck (Fn. 7), S. 62 f. m.w.N. 19 Vgl. Hicks/Buckleton/Bright et al., Chapter 2: A Framework for Interpreting Evidence, in: Buckleton/Bright/Taylor (Hrsg.), Forensic DNA evidence interpretation, 2. Aufl., 2016, S. 37 (38); so auch BGH, NStZ 2016, 490 (492 f., Rz. 30 ff.).
109
Jan Mysegades
selbst bei sauberen Zwei-Personen-Spuren. Neben die statistische Hochrechnung der Verbreitung in der Gesamtpopulation tritt eine andere statistische Berechnung, um die zwei (oder mehr) verschiedenen Spurenverursacher voneinander zu trennen bzw. bestimmte Beteiligte – wie etwa das Opfer – von der weiteren Untersuchung auszuschließen20. Bereits bei einer Zwei-Personen-Mischspur lässt sich nicht mehr mit Sicherheit – wohl aber mit einer gewissen Wahrscheinlichkeit – feststellen, ob sie durch zwei oder mehr Personen verursacht wurde21. Je höher die Zahl der möglichen Spurenleger22 und je niedriger die Qualität der Spur23, desto schwieriger gestaltet sich das statistische Verfahren. 7 In Deutschland existieren kriminaltechnische Richtlinien zur Auswertung und Interpretation von Mischspuren sowie zur Vermeidung bekannter Fehlerquellen24. Um sicherzustellen, dass die einzelnen Sachverständigen die Vorgaben auch richtig und weitgehend gleichmäßig anwenden, nehmen die meisten nach § 81f Abs. 2 S. 1 StPO zugelassenen Institute an regelmäßigen Ringversuchen zur Qualitätssicherung teil25. Im Ergebnis bleibt es aber dem Sachverständigen im Einzelfall überlassen, ob und wie er eine Spur auswertet26. So besteht jedenfalls theoretisch ein Bereich, in dem es durch den Einsatz anderer Institute oder Sachverständiger zu ungleichförmigen Entscheidungen für die gleiche Auswertung kommen kann27.
20 Schneider/Fimmers/Schneider et al. (Fn. 4), S. 448. 21 Denn ein gemessenes STR-System eines einzelnen Menschen kann aufgrund des Ursprungs eines Chromosoms von der Mutter und eines vom Vater entweder zwei verschiedene Längen („heterozygot“) oder die gleiche Länge („homozygot“) aufweisen. 22 Nach der empirischen Studie von Paoletti/Doom/Krane et al., Journal of forensic sciences 50 (2005), S. 1361 ff. sind durchaus einige Fälle (ca. 3 %) denkbar, in denen in allen untersuchten Systemen maximal vier verschiedene Stranglängen auftauchen, aber dennoch drei Verursacher vorliegen. 23 Laut Bastisch/Schmitter, in: MAH Strafverteidigung, 2. Aufl., 2014, § 71 DNA-Analyse, Rz. 65 nehmen die „auf Verdacht durchgeführten Sicherungen latenter Spuren“ mit Merkmalen bei mehr als einer Person zu. 24 Vgl. die Empfehlungen der Spurenkommission zur Bewertung von DNAMischspuren: Schneider/Fimmers/Schneider et al. (Fn. 4), S. 447 ff. 25 Kritisch zu den Versuchen Neuhaus, in: MAH Strafverteidigung, 2. Aufl., 2014, § 62 Kriminaltechnik aus der Perspektive der Verteidigung, Rz. 28. Deren Ergebnisse werden auch nur teilweise veröffentlicht, vgl. Kloosterman/ Sjerps/Quak, Forensic science international. Genetics 12 (2014), S. 77 (78). 26 Vgl. zum „Ermessenspielraum“ der Sachverständigen in den Vereinigten Staaten Kaye/Sensabaugh (Fn. 9), S. 185 m.w.N. 27 Thompson/Mueller/Krane, The Champion, S. 12 (15) m.w.N. Das Phänomen unterschiedlicher Ergebnisse bei anderen Sachverständigen ist freilich nicht
110
DNA-Auswertung in der Black Box?
Probleme bestehen noch immer bei stark degenerierten Spuren sowie bei 8 Mischspuren mit mehr als zwei Verursachern. Diese Probleme können bei einzelnen Spuren dazu führen, dass Sachverständige nicht mehr mit hinreichender Sicherheit einen LQ ausgeben können und die Spur daher für nicht auswertbar erklären. Diese Zurückhaltung liegt auch darin begründet, dass sich Richter von scheinbar hohen Wahrscheinlichkeitswerten für eine Übereinstimmung fehlleiten lassen und die zahlreichen Fehlerquellen und statistischen Besonderheiten bei komplizierten Spuren nicht hinreichend berücksichtigen könnten28. Teilweise gehen Sachverständige stattdessen dazu über, bei augenscheinlichen Parallelen von Tatortspur und Angeklagtenprobe, die aufgrund der geschilderten Schwierigkeiten aber nicht für eine genaue statistische Auswertung genügen, in ihrem Gutachten einen Hinweis aufzunehmen, dass der Angeklagte als Verursacher jedenfalls nicht auszuschließen sei und einige Merkmale gegenüber anderen Personen überwögen29. III. DNA-Auswertung durch statistische Mustererkennung 1. Überblick über die Funktionsweise Auf Grundlage empirischer Daten und statistischer Prognosen sind die 9 untersuchten Programme – angeblich – besser als bisherige Methoden in der Lage, die einzelnen Verursacher in Mischspuren zu identifizieren und typische Fehlerquellen in DNA-Analysen zu berücksichtigen. Im Ergebnis sollen sie zu einer gleichmäßigeren Spurenbewertung führen und auch solches Spurmaterial statistisch auswerten können, das einer Auswertung bisher nicht zugänglich war – die Entwickler versprechen bis zu 17 % mehr auswertbare Spuren30.
neu und bei stärker von Wertungen geprägten Disziplinen wie etwa psychiatrischen Gutachten stets Teil der Würdigung des Gerichts, vgl. Eisenberg, Beweisrecht der StPO, 9. Aufl., 2015, Rz. 1616 ff. 28 Vgl. für US-amerikanische Geschworenengerichte die Nachweise bei Kaye/ Sensabaugh (Fn. 9), S. 167 f., insb. Fn. 82, 83, 86; weitere Beispiele finden sich bei Bender/Nack/Treuer, Tatsachenfeststellung vor Gericht, 4. Aufl., 2014, Rz. 585 ff. 29 Der BGH hat der Ansicht eines Landgerichts, das aus dieser Aussage einen – wenn auch geringer gewichtigen – Schluss auf die Täterschaft ziehen wollte, eine eindeutige Absage erteilt, BGH, NStZ-RR 2017, 91 (92). 30 Für das Programm STRmix Taylor/Bright/Buckleton, Chapter 9: The Continuous Model, in: Taylor/Bright/Buckleton (Hrsg.), Forensic DNA evidence interpretation, 2. Aufl., 2016, S. 277 (281).
111
Jan Mysegades
10 Die Programme versuchen, die Wahrscheinlichkeit für die Erklärung einer untersuchten Spur mit einer bestimmten Hypothese zu errechnen. Die theoretisch möglichen Kombinationen der empirischen Daten, welche die Spur erklären und dabei die genannten typischen Fehler einschließen, sind allerdings so riesig, dass es nicht effizient möglich ist, alle Kombinationen durchzurechnen31. Die Programme nutzen daher effektive und in anderen Wissenschaften weit verbreitete Heuristiken: entweder die Markov-Chain-Monte-Carlo-Methode32 („MCMC“) in Kombination mit einem Metropolis-Hastings-Algorithmus33 oder Bayes’sche Netze.34 Im Folgenden sollen die wichtigsten technischen Eckpunkte zur MCMC-Methode kurz zusammengefasst werden35, welche die beiden größten kommerziellen Anbieter nutzen. 11 Eine einfache Metapher für die Funktionsweise der eingesetzten Methode ist ein Blinde-Kuh-Spiel mit „heiß“- und „kalt“-Rufen36. Sie wird eingesetzt, weil die zu lösenden statistischen Probleme und Einbeziehung aller oben skizzierter Fehlerquellen derartig kompliziert sind, dass selbst mit modernen Computern nicht jede mögliche Kombination von Parametern berechnet werden kann37. Will man jedoch unter vielen möglichen Kombinationen bzw. Lösungen diejenige finden, die am besten passt, muss man – geht man genau vor – jede einzeln durchspielen und prüfen. Die MCMCMethode ermöglicht es demgegenüber, zufällig eine der möglichen Lösungen auszuwählen, um sie darauf zu bewerten, ob sie das Ergebnis besser erklärt als die vorherige Lösung. Ist sie besser als die vorherige Lösung oder gleich gut, „springt“ die MCMC von dort weiter und die Prüfung beginnt erneut; ist sie schlechter, sucht sie eine andere, bessere oder neutrale Lösung von der vorherigen Lösung aus. Bei jedem Bewertungsschritt lernt der Algorithmus dazu, welche Parameter wie gewichtet und kombiniert sein müssen, damit die nächste Lösung als besser bewertet wird38. Der Vorteil
31 Vgl. Taylor/Bright/Buckleton (Fn. 30), S. 287. 32 Von Richey, The American Mathematical Monthly 117 (2010), S. 383 (383) wortgewaltig beschrieben als „powerful, easy to implement, and so versatile it warrants the label „universal.“ […] solve[s] otherwise intractable problems […] blessed with extreme elegance.“ 33 Bright/Taylor/McGovern et al., Forensic Science International: Genetics 23 (2016), S. 226 (227 f.). 34 Steele/Balding (Fn. 5), S. 376. 35 Eine ausführliche mathematisch-technische Einführung für Interessierte findet sich etwa bei Andrieu/Freitas/Doucet et al., Machine Learning 2003, S. 5 ff. 36 Taylor/Bright/Buckleton (Fn. 30), S. 281. 37 Taylor/Bright/Buckleton (Fn. 30), S. 287. 38 Taylor/Bright/Buckleton (Fn. 30), S. 289 f.
112
DNA-Auswertung in der Black Box?
dieses Vorgehens ist, dass der Algorithmus mit vergleichsweise wenigen Versuchen und Prüfungsrechnungen zur optimalen Lösung gelangt. Übertragen auf die Interpretation von DNA-Spuren versucht das Pro- 12 gramm, die zu untersuchende Spur durch eine „Lösung“ zu erklären39. Die möglichen Lösungen sind dabei Kombinationen aller Parameter der vorhandenen empirischen Daten zu Allelhäufigkeiten, -kombination und den typischen PCR-Fehlern. Ab einer gewissen Anzahl von Durchläufen bewegen sich alle vom Programm noch angebotenen Lösungen in einem relativ kleinen Bereich („Lock-in“), sodass die äußeren Grenzen dieses Bereichs als konservatives Wahrscheinlichkeitsergebnis einer Erklärung der DNA-Spur genutzt werden. Im Gegensatz zu einem menschlichen Auswerter, der zunächst nach Qualität der einzelnen STR-Stränge einer Spur über deren Berücksichtigung bei der Auswertung der Gesamtspur entscheidet (qualitative Analyse), basiert die Auswertung der hier beschriebenen Programme auf der Berechnung aller zur Verfügung stehenden Daten, inklusive derjenigen, die ein menschlicher Auswerter als unbeachtlich abschreiben würde (quantitative Analyse)40. 2. Validierung und Verifikation Die Validierung und Verifikation der Programme ist nicht ganz trivial. 13 Das liegt zum einen daran, dass sie durch die randomisierte Suche nach der wahrscheinlichsten Lösung keine exakt reproduzierbaren Ergebnisse liefern (können)41. Zudem ist ein formaler Richtigkeitsbeweis von Software per se außerordentlich schwierig. Mangels Open-Source-Quellcodes bei den kommerziellen Anbietern sind Wissenschaft und Labore darauf angewiesen, mit alten DNA-Spuren „Blackbox-Tests“ durchzuführen. Die existierende Literatur zur Validierung entstammt bisher fast ausschließlich den Forschungsgruppen der jeweiligen Entwickler42 und basiert auf kleinen Fallzahlen43. Im wissenschaftlichen Bereich existie39 Eine leicht verständliche und kurze Erklärung für das Programm TrueAllele bieten Greenspoon/Schiermeier-Wood/Jenkins, Journal of forensic sciences 60 (2015), S. 1263 (1264). 40 Vgl. Perlin/Legler/Spencer et al., Journal of forensic sciences 56 (2011), S. 1430. 41 Für STRmix Bright/Taylor/McGovern et al. (Fn. 33), S. 233; Thompson/ Mueller/Krane (Fn. 27), S. 20 berichten von drei unterschiedlichen Ergebnissen in einem Fall m.w.N. 42 Executive Office of the President, Report to the President – Forensic Science in Criminal Courts: Ensuring Scientific Validity of Feature-Comparison Methods, S. 80 (https://obamawhitehouse.archives.gov/sites/default/files/microsites/ostp/PCAST/pcast_forensic_science_report_final.pdf). 43 Thompson/Mueller/Krane (Fn. 27), S. 20; das Beratergremium des US-Präsidenten geht daher in einem aktuellen Bericht davon aus, dass die Programme
113
Jan Mysegades
ren zudem vereinzelte Stimmen, welche die Programme aufgrund ihrer Grundlage – der quantitativen Methode – ablehnen: Die Methode, alle verfügbaren Daten, insbesondere auch solche unterhalb der Nachweisgrenze, zu nutzen, sei nicht hinreichend gesichert, um hierauf Identifizierungen zu stützen44. Die zuständige Projektgruppe der deutschen Spurenkommission geht davon aus, dass sich für die quantitative Berechnung von stochastischen Fehlerquellen noch kein Konsens gebildet hat45. 14 Die Programme werden seit 2009 in verschiedenen anglo-amerikanischen Staaten genutzt und dort regelmäßig vor Gericht als Beweismittel eingebracht. Im Jahr 2015 erließ die maßgebende US-amerikanische Arbeitsgruppe der wissenschaftlichen DNA-Forensiker Richtlinien zur Validierung von quantitativer, probabilistischer Software zur Errechnung von LQs46. Diese sehen unter anderem vor, dass die Entwickler die wissenschaftlichen Grundlagen und Eigenschaften der Programme in Zeitschriften mit Peer Review veröffentlichen sollen – inklusive der zugrundeliegenden Berechnungen und statistischen Formeln sowie Entwicklerstudien zu Präzision und Richtigkeit der Programme (Ziffer 3.1, 3.2.3, 3.2.6). Auch die DNA Commission der International Society for Forensic Genetics hat sich mit eigenen Leitlinien angeschlossen47. Sie empfiehlt ebenfalls die Veröffentlichung der zugrundeliegenden Methodik und mathematischstatistischen Herangehensweise, um eine Reproduzierbarkeit jedenfalls der Methode sicherzustellen (Empfehlung 1). Die Validierung sollte anhand öffentlicher und nachvollziehbarer Datensets erfolgen und zur Verifikation sollten die Entwickler Einblick in den Quellcode gewähren (Empfehlung 2). Zwar geht die Kommission davon aus, dass kein Einblick in den Quellcode erforderlich ist, um seine Zulässigkeit vor Gericht zu beurteilen. Dennoch ist aus ihrer Sicht die Herausgabe an Verteidigungsteams unter vertraulichen Bedingungen möglich. 15 Der aktuelle Leitfaden des US Federal Judicial Center für US-amerikanische Richter aus dem Jahr 2011 nennt die Programme nur unter der Bedingung der hinreichenden Validierung als mögliche Verbesserung in der
44 45 46 47
bisher nur sehr eingeschränkt validiert wurden, vgl. Executive Office of the President (Fn. 42), S. 81. Manabe/Mori/Kawai et al., Legal medicine 15 (2013), S. 66 (70 f.). Ulbrich/Anslinger/Bäßler et al. (Fn. 16), S. 138. Scientific Working Group on DNA Analysis Methods, https://docs.wixstatic. com/ugd/4344b0_22776006b67c4a32a5ffc04fe3b56515.pdf. Coble/Buckleton/Butler et al., Forensic science international. Genetics 25 (2016), S. 191 ff. Anzumerken ist hier, dass einige der Entwickler der kommerziellen Programme engagierte Mitglieder des Gremiums sind.
114
DNA-Auswertung in der Black Box?
Zukunft48. Auch die deutschen Richtlinien der Spurenkommission beschränken sich auf die Empfehlung, eine hinreichend validierte Software zu verwenden, die es ermöglicht, die einzelnen Berechnungsschritte zu dokumentieren49. 3. Rezeption in der Praxis Gerichtliche Auseinandersetzung mit der Zulässigkeit der Programme 16 gibt es ersichtlich fast ausschließlich im anglo-amerikanischen Bereich. Gerade australische50 und US-amerikanische51 Gerichte haben sich umfangreich mit der Zulässigkeit der Verwendung der Programme auseinandergesetzt und sie weitgehend zugelassen. Nach umfassenden Anhörungen von Sachverständigen (die teilweise identisch mit den Entwicklern sind) kamen sie zu dem Schluss, dass die Programme einen Grad der Anerkanntheit in der wissenschaftlichen Welt erreicht haben, der eine Zulässigkeit als Beweismittel rechtfertigt. In einem australischen Strafverfahren wurde ein Fehler im Quellcode des Programms STRmix festgestellt52, der in sieben von 3.700 untersuchten Fällen zu anderen Auswertungsergebnissen führte. Auswirkungen auf die Urteile hatte der Fehler laut Hersteller indes nicht53. Auch nach der Aufdeckung dieser Fehler haben Gerichte die Programme weiter zugelassen54.
48 Federal Judicial Center (Hrsg.), Reference Manual on Scientific Evidence, 3. Aufl., 2011, S. 185. 49 Ulbrich/Anslinger/Bäßler et al. (Fn. 16), S. 140. 50 Vgl. etwa New South Wales Supreme Court, Voir dire hearing vom – Case number 2011/00147183 – Director of Public Prosecutions v. Lian Bin „Robert“ Xie, Rz. 442; Supreme Court of Victoria, Court of Appeal, Judgment v. 27.3.2015 – S APCR 2015 0007 = [2015] VSCA 148 – Clinton Tuite v The Queen, Rz. 4 ff., 22 ff., 121 ff. 51 Vgl. etwa 14th Circuit Court for the County of Muskegon, Michigan, Opinion v. 15.12.2015 – 14-65263-FC – The People v. Elamin Muhammad, S. 5; 30th Circuit Court for the County of Ingham, Michigan, Opinion and Order v. 28.11.2016 – Docket No.: 15-696-FC – The People vs. Herbert Maurice Alford, S. 21. 52 Murray, Queensland authorities confirm ‚miscode‘ affects DNA evidence in criminal cases, The Courier Mail Online, 20.3.2015, http://www.couriermail. com.au/news/queensland/queensland-authorities-confirm-miscode-affectsdna-evidence-in-criminal-cases/news-story/833c580d3f1c59039efd1a2ef55af9 2b (27.4.2018). 53 http://strmix.esr.cri.nz/assets/Uploads/Statement-relating-to-STRmix-miscodes-180316.pdf (27.4.2018). 54 Zusammenstellung von TrueAllele: https://www.cybgen.com/information/ admissibility/page.shtml (27.4.2018).
115
Jan Mysegades
17 In den USA existiert mittlerweile eine so umfangreiche Rechtsprechung aus verschiedenen Bundesstaaten, dass die Programme dort als etabliert gelten dürften. Gleichzeitig ertönt auch starke Kritik daran, dass es der Verteidigung nicht möglich ist, die Methodik des Sachverständigen im Detail zu prüfen, weil sie keinen Zugriff auf den Quellcode der Programme hat55. Dieser sei nötig, um die Validität mit eigenen Experten prüfen zu können. Die Hersteller wiederum sind der Ansicht, der Quellcode allein würde der Verteidigung nicht helfen56. IV. Nutzbarkeit der Programme in Deutschland 1. Grenze der Zulässigkeit als Beweismittel 18 Ein Sachverständigenbeweis, der wissenschaftlich anerkannt ist und ein der Wahrheitsfindung förderliches Indiz hervorbringen kann, ist auch nach deutschem Recht grundsätzlich zuzulassen. Auch die Spezialregelungen in §§ 81e ff. StPO sprechen nicht gegen die Verwendung der beschriebenen Computerprogramme. Beweismittel können im Strafprozess nur nach dem engen Katalog des § 244 Abs. 3 StPO abgelehnt werden. In Betracht kommt vorliegend ausschließlich die Ungeeignetheit der untersuchten Programme, weil sie nicht hinreichend wissenschaftlich abgesichert sind, um verwertbare Ergebnisse zu produzieren. Das Merkmal der Ungeeignetheit ist allerdings restriktiv auszulegen und kommt erst in Betracht, wenn das Beweismittel mit „(fast) naturwissenschaftliche[r]“ Sicherheit keine Erkenntnis erbringen kann57. Beweismittel, bei denen nicht sicher mit einem eindeutigen Ergebnis zu rechnen ist, die durchaus aber gewisse Wahrscheinlichkeitsaussagen treffen können, hält die Rechtsprechung demgegenüber für verwertbar58. Bei einer umstrittenen Methode wird der Tatrichter sich mit dem fachlichen Streitstand beschäftigen und Argumente für eine Entscheidung in die eine oder andere Richtung darlegen müssen59. Für die untersuchten Programme bedeutet das, dass ein Gericht sie jedenfalls 55 Chessman, California Law Review 105 (2017), S. 179 (183). 56 Für STRmix Taylor/Bright/Buckleton, Frontiers in genetics 8 (2017), S. 33, S. 1 f., wonach jedenfalls für das Programm STRmix – wie von der DNA Commission der ISFG empfohlen – Verteidigungsteams der Quellcode unter Geheimnisschutzbedingungen zur Verfügung gestellt wird. 57 Kühne, Strafprozessrecht, 9. Aufl., 2015, Rz. 782; vgl. auch BGH, NStZ 2009, 346 (347) m.w.N.; angenommen etwa beim Lügendetektor: BGHSt 44, 308 (327 f.). 58 BGH, NStZ 1985, 515 (516) m.w.N. 59 BGH v. 12.1.1994 – 5 StR 620/93, NStZ 1994, 250 (250); Eisenberg (Fn. 27), Rz. 1618b.
116
DNA-Auswertung in der Black Box?
nicht allein aufgrund der wissenschaftlichen Debatte über die Validität quantitativer DNA-Auswertung oder die fehlende externe Validierung als ungeeignet ablehnen kann. Sehr wohl wird sich ein Tatgericht allerdings ausführlich und nachvollziehbar mit dem Für und Wider der neuen Programme im Vergleich zum bisherigen Vorgehen auseinandersetzen müssen. 2. Prüfungspflicht des Tatgerichts Das Tatgericht muss sich bei einem Sachverständigengutachten davon 19 überzeugen, dass es logische Denkgesetze verfolgt und keine Widersprüche beinhaltet. Die Methoden des Sachverständigen müssen der Nachprüfung zugänglich sein60. Denn der Richter sollte die Anwendung des Spezialwissens auf den Einzelfall verstehen und von ihr überzeugt sein61. Befunde anderer Wissenschaftler darf ein Sachverständiger grundsätzlich nur nach eigener Prüfung übernehmen, wenn er das Sachgebiet selbst beherrscht62. Ähnliches gilt für menschliche Hilfskräfte des Sachverständigen: Sie sollen zwar standardisierte Verfahren durchführen dürfen, aber keine Wertungsfragen übernehmen63. Überträgt man diese Grenzen auf die untersuchten Programme, stellt man fest, dass Teile der Aufgaben, die sie übernehmen, bisher mehr oder weniger subjektive Wertungsfragen des eingesetzten Sachverständigen waren. Wenn das auch nicht zur generellen Unzulässigkeit führt, so doch dazu, dass diese Bereiche der bisher subjektiven Wertungen noch strenger zu prüfen sind. Zu beachten ist auch, dass der BGH die statistischen Berechnungen bei DNAAuswertungen nicht unter das Privileg „standardisierter Verfahren“ gestellt hat64. Ein Sachverständiger müsste somit nachvollziehbar erklären können, inwieweit er die Funktionsfähigkeit und Geeignetheit des Programms für den eingesetzten Zweck beurteilen kann und inwieweit er als Mensch und Sachverständiger noch selbst die entscheidenden Wertungen der Auswertung vornimmt. Allgemeine Anforderungen an Software, die gerichtliche Sachverstän- 20 dige nutzen, finden sich nur vereinzelt. Im Verkehrsrecht nimmt das 60 Eisenberg (Fn. 27), Rz. 1508, der aber zugleich zugibt, dass die Praxis hiervon oft abweicht. 61 Miebach, in: MünchKomm-StPO, 1. Aufl., 2016, § 261, Rz. 308. 62 In der Praxis lassen sich diese Voraussetzungen aufgrund der Spezialisierung der Wissenschaft aber schon heute kaum einhalten, Eisenberg (Fn. 27), Rz. 1502. 63 Für Hilfskräfte des Sachverständigen überzeugend Bleutge, NJW 1985, S. 1185 (1188 f.); vgl. auch Eisenberg (Fn. 27), Rz. 1502, Fn. 10. 64 BGH, NStZ 2013, 177 (178).
117
Jan Mysegades
Physikalisch-Technische Bundesamt (PTB) die meisten Messsysteme ab. Bei Lärmmessungen im Umweltrecht scheinen sich die Obergerichte – jedenfalls solange das Gegenteil nicht substantiiert dargelegt ist – damit zufrieden zu geben, dass der Hersteller zusichert, dass die Software die Berechnung rechtmäßig durchführt65. Untergerichtlich ist die Zurückhaltung bei der Prüfung verwendeter Software bereits auf deutliche Kritik gestoßen66. Eine Grundvoraussetzung dafür, Programme in einem deutschen Strafprozess zu nutzen, dürfte die Einhaltung der internationalen, wissenschaftlichen Richtlinien zur Validierung der Programme durch Entwickler und Labore sein. 21 Darüber hinaus spricht einiges dafür, die Offenlegung des Quellcodes gegenüber der Verteidigung oder einem neutralen Sachverständigen zu fordern, solange noch keine externe wissenschaftliche Validierung vorliegt. Denn wenn sich schon kein fachlicher Peer ohne den Quellcode zutraut, eine Validierung durchzuführen und zu veröffentlichen, wird man zumindest Strafverteidigern und Gerichten alle dazu notwendigen Mittel geben müssen. Das schließt den Quellcode ebenso ein wie sämtliche Rohdaten und etwaige Trainingsdaten. Die umstrittene67 Behauptung der Entwickler, der Quellcode spiele für die Validierung keine oder nur eine untergeordnete Rolle, ist insoweit irrelevant. Das gilt umso mehr, als eine Offenlegung des Codes an Prozessbeteiligte unter Geheimnisschutzbedingungen unter Ausschluss der Öffentlichkeit nach § 172 Nr. 2 GVG68 ohne weiteres möglich ist69. 22 Das gebietet auch der fair-trial-Grundsatz aus Art. 6 EMRK. Sein Abs. 3 lit. d) enthält ein Recht darauf, belastende Zeugen selbst befragen zu dürfen. Das wird zu Recht weit verstanden und bezieht auch Sachverständi-
65 Vgl. nur OVG Schleswig v. 10.10.2006 – 4 KS 12/03, zitiert nach juris, Rz. 83. 66 Das AG Emmendingen v. 13.11.2014 – 5 OWi 530 Js 17298/13, zitiert nach juris, Rz. 83, 91, 95 kritisiert diese Rspr. deutlich. Das OLG Karlsruhe, Beschl. v. 17.7.2015 – 2 (7) SsBs 212/15, 2 (7) SsBs 212/15 – AK 108/15, zitiert nach juris, Rz. 4 f. hat das Urteil indes aufgehoben. Das OLG Koblenz, ZfSch 2017, 412 geht einen Schritt weiter und lässt verlauten, es sei „unprofessionelle Zeit- und Geldverschwendung, sich in Beweisanträgen und/oder Rechtsmitteln auf die Außenseitermeinungen einiger Amtsgerichte zu stützen, die inzwischen von den übergeordneten Oberlandesgerichten darüber belehrt wurden, dass und warum sie völlig daneben lagen“. 67 Vgl. Chessman (Fn. 55), S. 206 ff. m.w.N. 68 Ähnlich Schneider, Der Einsatz bildgebender Verfahren im Strafprozess, 1. Aufl., 2010, S. 162 ff. 69 Für das US-amerikanische Recht Chessman (Fn. 55), S. 221 f.
118
DNA-Auswertung in der Black Box?
ge mit ein70. Nimmt man das ebenfalls von Art. 6 EMRK statuierte Recht auf Waffengleichheit ernst, muss es der Verteidigung möglich sein, durch eigene Sachverständige oder jedenfalls unabhängige Sachverständige Einblick in den Quellcode nehmen zu können, um eine hinreichende Validierung durchzuführen. Der bisher von deutschen Gerichten vorgenommene pauschale Verweis darauf, dass ein solcher Schritt ohne substantiierte Darlegung von Fehlerquellen nicht notwendig sei, verschiebt jedenfalls im Strafprozess die Darlegungslast über die Grenze des Art. 6 EMRK hinaus auf die Seite des Angeklagten. Die Beurteilung des Beweiswerts der Auswertung bleibt auch nach einer 23 externen Validierung im Ermessen des Tatrichters. Ihm muss dabei insbesondere bewusst sein, dass auch hohe LQs nichts an der Tatsache ändern, dass es sich bei den Auswertungen – wie bisher auch – um subjektive statistische Prognosen und nicht um empirische Wahrheiten handelt. Der Beweiswert dürfte sich insoweit nach den Ergebnissen von etwaigen Validierungsstudien sowie der zu erwartenden Fehlerquote richten. Als Faustformel sollte gelten: je komplexer und degenerierter die Spur, desto niedriger der Beweiswert der DNA-Auswertung. V. Ausblick und Fazit Will der Gesetzgeber sicherstellen, dass die unbestreitbaren Vortei- 24 le einer objektiveren und gleichmäßigeren Auswertung komplizierter DNA-Spuren vor deutschen Strafgerichten verwertbar sind und die Tatgerichte diesen Auswertungen einen hohen Beweiswert zumessen, wird er einen normativen Rahmen schaffen müssen – etwa in § 81f Abs. 2 StPO. Hier könnte er nicht nur Einsichtsrechte der Verteidigung, sondern auch – etwa per delegierter Rechtssetzung – Validierungs- oder Zertifizierungsanforderungen festlegen. Dem Tatgericht wäre damit ein klarer Zulassungs- und Prüfmaßstab an die Hand gegeben und eine gleichmäßige Rechtsprechung gesichert. Inwieweit der Quellcode für eine öffentliche oder neutrale wissenschaftliche Validierung oder Zertifizierung erforderlich ist, kann weitgehend der Abwägung und Fachkenntnis der dann zuständigen Stellen anheim gestellt werden. Eine andere, grundlegendere Herangehensweise zeigen die Vorschläge von Chessman auf: Der Staat sollte die Entwicklung gleichartiger Programme selbst vorantreiben oder jedenfalls fördern – vorzugsweise mit einem Fokus auf Open-Source-
70 Grabenwarter/Pabel, Europäische Menschenrechtskonvention, 6. Aufl., 2016, Rz. 131.
119
Jan Mysegades
Lizenzierung oder jedenfalls mit einer Verpflichtung zur Offenlegung gegenüber der Verteidigung71. 25 Denn schwerer zu vermittelnde, aber genauere wissenschaftliche Methoden72 und ein hierdurch erweitertes Feld an auswertbaren DNA-Spuren sind für Angeklagte nicht zwangsläufig negativ, sondern können sie auch durchaus entlasten. Dennoch ist es – gerade in einer immer stärker digitalisierten und spezialisierten Welt – wichtig, auch komplizierte Methoden zu erklären und auf Herz und Nieren zu prüfen, statt sie mehr oder weniger pauschal als gegeben hinzunehmen. Dass dies ein langer und teurer Prozess sein kann, ist zum Schutz unserer Rechtsordnung hinzunehmen, wenn das schärfste Schwert des Staates über den Köpfen der Betroffenen hängt.
71 Vgl. Chessman (Fn. 55), S. 223 ff. Völlig abwegig ist das nicht, weil viele der aktiven Forscher in diesem Wissenschaftsfeld für staatliche Institute und Universitäten arbeiten und gearbeitet haben. Ein erstes positives Beispiel existiert auch schon in Form der Software „EuroForMix“, vgl. die Anbieterwebsite www.euroformix.com (26.4.2018) sowie den vorstellenden Beitrag von Bleka/ Storvik/Gill, Forensic science international. Genetics 21 (2016), S. 35 ff. 72 Einer der Entwickler von STRmix formuliert passend das Grundproblem der vorgestellten Programme: Die wissenschaftlich genauesten Methoden sind Richtern, Verteidigern und Bevölkerung am schwersten zu vermitteln, die leicht zu vermittelnden Methoden sind am fehleranfälligsten, vgl. Hicks/ Buckleton/Bright et al. (Fn. 19), S. 38.
120
Fake News und Providerhaftung Warum das NetzDG zur Abwehr von Fake News die falschen Instrumente liefert Karl-Nikolaus Peifer* I. Fake News als Phänomen II. Fake News als rechtlich bedeutsamer Sachverhalt III. Das NetzDG und Fake News 1. Gegenstand des Gesetzes 2. Warum ein Vorgehen gegen die Provider? 3. Wie haften Provider?
4. Wer kann gegen Fake News vorgehen? 5. Eignung der Störerhaftung als Modell für die Pflichten von Netzbetreibern? 6. Wahrheit in den Medien und das NetzDG IV. Ergebnis
Das Netzwerkdurchsetzungsgesetz (NetzDG) möchte die Debattenkultur in Sozialen Netzwerken verbessern. Dabei richtet es sich primär gegen Hasskriminalität, allerdings ausweislich der Materialien, die das Gesetz begleiten, auch gegen Fake News. Der Beitrag1 vertritt die These, dass das Gesetz zur Bekämpfung dieses Phänomens kaum geeignet ist. Das liegt daran, dass Fake News bereits begrifflich schwer zu fassen sind (I.), die gesetzliche Definition des NetzDG hilft nicht bei der begrifflichen Klärung (II.). Das zeigt eine genauere Analyse des Gesetzes und des Ansatzes, die Provider für einen unklaren Sachverhalt in Anspruch zu nehmen (III.). Will man das Phänomen bereits bei den Providern bekämpfen, müsste man ihnen ähnliche Pflichten auferlegen, wie sie bereits derzeit Massenkommunikationsanbieter wie Rundfunk und Presse treffen. I. Fake News als Phänomen Fake News ist ein Begriff, der vor allem im Zusammenhang mit der 1 Wirklichkeitsverarbeitung des 45. Präsidenten der USA, Donald Trump, eine stürmische mediale Karriere erlebt hat. Übersetzt man ihn als „ge-
* Prof. Dr. Karl-Nikolaus Peifer, Universität zu Köln. 1 Netzquellen wurden am 18.4.2017 abgerufen.
121
Karl-Nikolaus Peifer
fälschte Nachricht“, so beschreibt er ein uraltes Phänomen, unter das die „Emser Depesche“2 ebenso fällt wie die Verarbeitung der russischen Oktoberrevolution des Jahres 1917 durch Sergej Eisenstein3. Heute kann man Fake News als bewusste Desorientierung der Öffentlichkeit durch unwahre oder irreführende Informationen unter Ausnutzung der schnellen und viralen Verbreitung von Äußerungen in Sozialen Netzwerken definieren4. Darunter fällt auch der Einsatz von Robots zur Vortäuschung massenhafter menschlicher Äußerungen („social bots“5). Vorgetäuscht wird Relevanz durch scheinbar menschlich veranlassten „traffic“, durch den auf eine lebhafte Diskussion geschlossen wird. 2 Ein Beispiel für Fake News behandelt das im September 2015 entstandene Selbstfoto („Selfie“) der Kanzlerin mit einem Flüchtling, das seither von unbekannten, vor allem rechtsextremen Gruppen auf Netzprofilen verbreitet wird, unter anderem, um die falsche Behauptung zu tragen, dass der abgebildete Flüchtling einen Obdachlosen angezündet habe und im Zusammenhang mit Terroranschlägen in Berlin, Brüssel, Würzburg und Ansbach stehe. Dass es um eine gravierende Falschbehauptung und eine strafbare Handlung nach § 187 StGB geht, war nicht ernstlich zu bezweifeln. Der Versuch, das Foto durch Facebook löschen und ein Wiederhochladen verhindern zu lassen, scheiterte aber vor dem LG Würzburg6.
2 In der sog. „Emser Depesche“ formulierte der Diplomat Abeken eine Mitteilung, die von Bundeskanzler Otto von Bismarck durch eine Pressemitteilung so sehr redigiert und verschärft wurde, dass sich die französische Regierung zur Kriegserklärung gegen das Deutsche Reich vom Juli 1870 herausgefordert fühlte, vgl. zu Einzelheiten Stürmer, Das ruhelose Reich. Deutschland 1866–1918, 1994, S. 164. 3 Eisenstein inszenierte den „Sturm auf den Petersburger Winterpalais“ in seinem 1928 erschienenen Film „Oktober. Zehn Tage, die die Welt erschütterten“ in einer suggestiven Weise, die den Eindruck einer breiten Volksbewegung gegen die Obrigkeit erweckte, obgleich die Aktion nur den Charakter eines Regierungsstreichs durch eine zahlenmäßig beschränkte Gruppe von Bolschewiki hatte, vgl. dazu Maxi Braun, Die nie überwundenen Barrikaden, Werkstattgeschichte Bd. 60 (2013), S. 96-104, abrufbar unter http://werkstattgeschichte.de/ wp-content/uploads/2016/12/WG60_096-104_BRAUN_BARRIKADEN.pdf. 4 Der „Duden“ definiert das Phänomen als „in den Medien und im Internet, besonders in den Social Media, in manipulativer Absicht verbreitete Falschmeldungen“, Duden, 27. Aufl. 2017 – Fake News. 5 Zum Phänomen Hegelich, Social Botnets auf Twitter – der Fall Ukraine, in Peifer/Schoder (Hrsg.), Media Bias im Internet – Tendenzfreiheit und Vielfalt von Medien(inhalten), 2016, S. 127, Beilage 1 zu K&R Heft 7/8 (2017), S. 30. 6 So auch LG Würzburg, ZUM 2017, 437 m. Anm. Ladeur.
122
Fake News und Providerhaftung
II. Fake News als rechtlich bedeutsamer Sachverhalt Die Abwehr von Fake News hat das Medienrecht stets beschäftigt. Im 3 Äußerungsrecht geht es um den Schutz vor falschen Tatsachenbehauptungen, die Ehre oder Individualität von Menschen sowie Kredit oder Corporate Reputation von Unternehmen beeinträchtigen können7. Unwahre Tatsachenbehauptungen genießen in Deutschland nach h. M. keinen Schutz nach Art. 5 Abs. 1 GG, denn sie tragen zur Meinungsbildung nichts Bedeutsames bei, weil sie nicht informieren, sondern desorientieren8. Soweit unwahre Tatsachenbehauptungen Reputation oder Kredit schädigen, können sie Vermögensinteressen beeinträchtigen, also zu konkreten Schäden, nicht nur zu immateriellen Beeinträchtigungen führen. Das Recht definiert Fake News nicht, sondern bedient sich anderer Be- 4 griffe. Tatsachenbehauptungen definiert die Rechtsprechung als dem Beweis zugängliche Äußerungen9. Das Lauterkeitsrecht und zahlreiche Spezialgesetze verwenden den Begriff der Irreführung (z. B. in § 5 UWG, § 7 HWG, § 5 GlüStV), die auch darin liegen kann, dass Wesentliches vorenthalten wird (§ 5a UWG). Das Strafrecht erfasst unwahre Tatsachenbehauptungen, welche die Ehre beeinträchtigen (§§ 186–188 StGB). Mit der sog. „Auschwitz-Lüge“ (§ 130 Abs. 3 StGB) erfasst es eine Deutung der Geschichte, die als „Leugnung des Holocaust“ oder als Leugnung geschichtswissenschaftlich erwiesener Ereignisse auch normativ als unwahr definiert wird. Auch „Verharmlosungen“ nationalsozialistischer Verbrechen werden als potentiell unwahre und deswegen strafbare Äußerungen erfasst. Die Wahrheit darf man dagegen behaupten und verbreiten, mag sie auch nachteilig für den Betroffenen sein10. Die Grenze 7 Hierzu Siemons, „@realDonaldTrump. Über das Regieren mit 140 Zeichen: Der Troll ist an der Herrschaft“, FAS v. 15.1.2016, S. 41, der den früheren Wahlkampfmanager von Donald Trump wie folgt zitiert: „In 140 Zeichen kann (Trump) das Schicksal eines Fortune-100-Unternehmens verändern, er kann Weltführern Botschaften zukommen lassen, und er kann auch Regierungsinstitutionen Bescheid geben, dass Business as usual vorüber ist“. 8 BVerfG v. 22.6.1982 – 1 BvR 1376/79, BVerfGE 61, 1 = NJW 1983, 1415 – NPD Europas; krit. zu dieser Schutzbereichsbegrenzung Kahl, Der Staat 43 (2004), 167, 187, der allerdings nicht gewichtet, dass unwahre Tatsachenbehauptungen nicht schutzlos sind, sondern jedenfalls als Ausübung der allgemeinen Handlungsfreiheit Schutz genießen, mag dieser Schutz auch in der Abwägung gegenüber widerstreitenden Rechten und Interessen schwächer sein. 9 BVerfG v. 13.4.1994 – 1 BvR 23/94, BVerfGE 90, 241, 248 f. = NJW 1994, 1779 (Leugnung der Judenverfolgung). 10 BVerfG v. 29.6.2016 – 1 BvR 3487/14, CR 2016, 734 = ITRB 2016, 221 = NJW 2016, 3362 Rz. 14 – Bewertungsportal; BGH v. 20.12.2011 – VI ZR 261/10, NJW 2012, 771 – Babyklappen = GRUR 2012, 425 Rz. 16 (Zugehörigkeit zu einer politisch extremen Partei).
123
Karl-Nikolaus Peifer
markiert Privates, Geheimes oder Intimes sowie eine übermäßige Anprangerung, die zur Stigmatisierung des Betroffenen führen kann11. III. Das NetzDG und Fake News 1. Gegenstand des Gesetzes 5 Das Netzwerkdurchsetzungsgesetz12 (NetzDG) wendet sich primär gegen sog. Hasskriminalität, die ein Klima der Ausgrenzung für vom Äußernden Unerwünschtes erzeugt13. Erfasst werden ausweislich der Begründung zum Regierungsentwurf allerdings auch Fake News, denn beide Phänomene, Hasskriminalität und Fake News, werden als Bedrohung der „Debattenkultur“14 in einem für die individuelle und gesellschaftliche Kommunikation immer bedeutsamer werdenden Medium angesehen. Im Bereich von Fake News geht es um Phänomene, welche die demokratische Willensbildung erschweren, weil eine desinformierte Öffent-
11 BVerfG v. 29.6.2016 – 1 BvR 3487/14, CR 2016, 734 = ITRB 2016, 221 = NJW 2016, 3362 Rz. 14; BGH v. 20.12.2011 – VI ZR 261/10, NJW 2012, 771 Rz. 20; von Pentz, AfP 2016, 101, 103. 12 Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz – NetzDG) v. 1.9.2017, BGBl. I 3352; Begründung des RegE, BT-Drucks. 18/12356 (16.5.2017), Stellungnahme des Bundesrates, BT-Drucks. 18/17727, S. 15, Gegenäußerung der Bundesregierung, BT-Drucks. 18/12356, S. 26 (14.6.2017). Das Gesetz ist am 1.10.2017 in Kraft getreten, die im Gesetz vorgeschriebenen Berichtspflichten der Netzwerkbetreiber (§ 2 NetzDG) waren erstmals bis zum 31.7.2018 zu erfüllen (§ 6 Abs. 1 NetzDG), das gesetzlich auferlegte Beschwerdemanagement (§ 3 NetzDG) musste zum 31.12.2017 eingeführt sein (§ 6 Abs. 2 NetzDG mit Art. 3 des Gesetzes). 13 Der Begriff entstammt der US-amerikanischen Diskussion, sog. „hate speech“; darunter fallen Äußerungen, die wegen ihrer gewalterzeugenden Tendenz zwar von geringem Wert für die Meinungsbildung sind, gleichwohl wegen des weitreichenden Schutzes, den der Erste Zusatzartikel der US-Verfassung („First Amendment“) gewährt, nicht allein wegen ihres Inhaltes untersagt werden dürfen, sondern allein dann, wenn sie eine klar erkennbare und gegenwärtige Gefahr für die öffentliche Ordnung erzeugen, Chaplinski v. New Hampshire, 62 S.Ct. 766, 769 (1942); R.A.V. v. City of St. Paul, 505 U.S. 377 (1992); zum „clear and present danger-test“: Schenck v. U.S., 39 S.Ct. 247, 249 (1919). In Deutschland entspricht diese Auslegung von „hate crimes“ im Wesentlichen dem Straftatbestand des § 130 StGB, der mit der sog. „Auschwitz-Lüge“ und der Leugnung nationalsozialistischer Verbrechen auch Aspekte von Fake News erfasst. 14 Begr. RegE, BT-Drucks. 18/12356, S. 1.
124
Fake News und Providerhaftung
lichkeit nur noch erschwert Entscheidungen auf zutreffender Tatsachengrundlage vornehmen kann15. Das NetzDG konzentriert sich auf wenige Tatbestände, die vom Ge- 6 setz mit Hasskriminalität und Fake News in Zusammenhang gebracht werden. Es definiert keinen dieser Sachverhalte, sondern verweist auf Straftatbestände, die zwar meist Kommunikationsdelikte sanktionieren, allerdings nicht klar auf die genannten Phänomene begrenzt sind. Erfasst werden verschiedene Deliktsgruppen, von der Gefährdung des demokratischen Rechtsstaats über die Störung der öffentlichen Ordnung und Sicherheit bis hin zum Schutz vor Kinderpornographie oder Verletzungen des intimen Lebensbereichs. Fake News-Konstellationen werden nur durch Straftaten gegen die Ehre in Form unwahrer herabsetzender Tatsachenbehauptungen (§§ 186–188 StGB) sowie die Fälschung beweiserheblicher Daten (§ 269 StGB) angesprochen. Damit liegt der Schwerpunkt bei einem auch äußerungsrechtlich relevanten – auf Individualinteressen begrenzten – Schutz. 2. Warum ein Vorgehen gegen die Provider? Unterstellt man, dass Fake News eine Bedrohung von durch die Rechts- 7 ordnung geschützten Gütern und Interessen darstellen16, so sorgt die schnelle, virale Verbreitung solcher Informationen dafür, dass schnelles und effektives Handeln an der Quelle angezeigt wäre, um die Verbreitung effektiv zu bekämpfen. Dass dieser Kampf an sich gegen die Täter geführt werden müsste, ist ebenso eine Binsenweisheit wie die Erkenntnis, dass dieser Kampf wegen der Anonymität vieler Äußerungen, aber auch der erfolgreichen Rolle von Providern bei der zielgenauen Erreichung von Rezipienten oft nicht genügt. Dass Provider die Quelle eines Problems, aber auch der Zielpunkt seiner Lösung sind, überrascht niemanden mehr. Das NetzDG setzt hier an. Selbst die Betreiber der Netzwerke weisen vielfach darauf hin, dass die 8 Dienste nicht zu rechtswidrigen Zwecken genutzt werden dürfen und der Betreiber sich die Löschung oder Sperrung von Inhalten, die dem
15 Vgl. dazu (im Kontext des Rechts auf Kurzberichterstattung über Sportereignisse) BVerfG v. 17.2.1998 – 1 BvF 1/91, BVerfGE 97, 228 = NJW 1998, 1627, 1629, wonach die freie individuelle und öffentliche Meinungsbildung nur unter den Bedingungen umfassender und wahrheitsgemäßer Information gelingen könne. 16 Vgl. dazu Hain, Facts – stupid or stubborn things?, promedia 8/2017, S. 24.
125
Karl-Nikolaus Peifer
zuwiderlaufen, vorbehält17. Der Weg des NetzDG ist gewählt worden, nachdem Versuche, die Provider an ihren eigenen Kommunikationsregeln festzuhalten und auf deren Selbstdurchsetzung zu drängen, offenbar erfolglos geblieben waren18. 3. Wie haften Provider? 9 Das NetzDG knüpft an die zivilrechtliche Denkfigur der Störer- oder (mittelbaren) Verbreiterhaftung an, die der 6. Zivilsenat des BGH unter Beachtung der Vorgaben der E-Commerce-Richtlinie dahingehend formuliert hat, dass Host-Provider, zu denen die Betreiber Sozialer Netzwerke unstreitig gehören, keine allgemeine Pflicht haben, die von Nutzern eingestellten Inhalte auf deren Rechtmäßigkeit zu überprüfen. Sie haben diese Pflicht allerdings ab dem Zeitpunkt, ab dem sie Kenntnis von einem rechtswidrigen Inhalt erlangt haben19. Dann nämlich werden sie äußerungsrechtlich zum Verbreiter und damit potentiell haftbar, sofern sie den Inhalt nicht unverzüglich löschen. Zentraler Angelpunkt der Haftung ist die Kenntnis von dem rechtswidrigen Inhalt, die zur Handlungsaufforderung wird. 10 Das NetzDG knüpft hieran an, indem es den Betreibern einerseits ein Beschwerdemanagement auferlegt, andererseits eine Ausgestaltung dieses Managements dergestalt fordert, dass unverzüglich von Beschwerden Kenntnis genommen wird (§ 3 Abs. 2 Nr. 1 NetzDG), offensichtlich rechtswidrige Inhalte innerhalb von 24 Stunden, sonstige rechtswidrige Inhalte unverzüglich, spätestens innerhalb von 7 Tagen, jeweils gerechnet ab Eingang der Beschwerde, entfernt oder gesperrt werden (§ 3 Abs. 2 17 Twitter etwa formuliert: „Sie dürfen unseren Dienst nicht zu rechtswidrigen oder illegalen Zwecken einsetzen. Durch die Nutzung von Twitter erklären Sie sich damit einverstanden, alle anwendbaren Gesetze zu Ihrem Online-Verhalten und zu Ihren Inhalten zu befolgen.“ und „Alle Personen, die auf die Dienste von Twitter zugreifen oder sie nutzen, müssen die in den Twitter Regeln dargelegten Richtlinien befolgen. Bei einem Verstoß dagegen kann Twitter eine oder mehrere … Gegenmaßnahmen ergreifen“. Darunter fällt auch die Löschung oder Sperrung des Accounts sowie die Pflicht zur Aufhebung der Anonymität. Vgl. die Regeln unter https://support.twitter.com/ articles/87137#. 18 Informationen hierzu finden sich auf der Website des BMJV unter http://www. bmjv.de/DE/Themen/FokusThemen/NetzDG/NetzDG_node.html. 19 Hierzu BGH v. 25.10.2011 – VI ZR 93/10, BGHZ 191, 219, Rz. 25 – Blog-Eintrag = CR 2012, 103 = ITRB 2012, 28; BGHZ 202, 242 Rz. 28 f. – Ärztebewertungsportal II; BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 m. Anm. Kriegesmann = ITRB 2016, 123 = NJW 2016, 2106, Rz. 24 – Ärztebewertungsportal III; Peifer, AfP 2014, 18; Peifer, AfP 2015, 193.
126
Fake News und Providerhaftung
Nr. 2 und Nr. 3 NetzDG). Fehlt ein solches Beschwerdemanagement oder funktioniert es „nicht richtig“, so kann dem Betreiber ein Bußgeld von bis zu 5 Mio. Euro, bei Unternehmen bis zu 50 Mio. Euro (§ 4 Abs. 2 NetzDG mit § 30 Abs. 2 S. 3 OWiG) auferlegt werden. An die zivilrechtliche Haftung knüpft das NetzDG also eine ordnungswidrigkeitenrechtliche Einstandspflicht. 4. Wer kann gegen Fake News vorgehen? Das zivile Äußerungsrecht gibt dem von einer Äußerung individuell 11 Betroffenen die Möglichkeit, Unterlassung und Beseitigung zu verlangen (§§ 1004 Abs. 1 analog mit § 823 Abs. 1 BGB). Das entspricht dem Haftungskonzept der Störer- bzw. mittelbaren Verbreiterhaftung. Daraus folgt, dass jeder Betroffene für sein Reputationsmanagement selbst zu sorgen hat. Ein Vorgehen im Wege der einstweiligen Verfügung gegen den Provider ist denkbar. Allerdings ist noch nicht klar, in welcher Weise dem Provider die Kenntnis von der Rechtsverletzung verschafft werden muss. Eine Entscheidung des OLG Köln, die Verlinkungen durch Suchmaschinenbetreiber betrifft, hat diese Anforderungen hoch angesetzt20 und damit den Eindruck unterstützt, dass die Providerhaftung weder eindeutig jeden Netzintermediär trifft, noch stets auf einfache und schnelle Weise durchsetzbar ist. Die Verfolgung von Verstößen gegen das Strafrecht obliegt Polizei und 12 Staatsanwaltschaft sowie den Landesmedienanstalten. Die Löschung strafbarer oder medienrechtlich unzulässiger Inhalte ist auf diesem Feld allerdings weder schnell noch effektiv durchsetzbar. Im Strafprozessrecht fehlt es schon an eindeutigen Ermächtigungsgrundlagen, die Landesmedienanstalten können direkt nur gegen die täterschaftlich Verantwortlichen vorgehen, Nicht-Verantwortliche können nur subsidiär in Anspruch genommen werden (§ 59 Abs. 4 RStV). Soweit es also um die Durchsetzung der objektiven (Strafrechts-)Ordnung geht, die keine individuelle Betroffenheit erzeugt, wird die Rechtsdurchsetzung schwierig. Hier setzt das NetzDG an. Bei fehlender individueller Betroffenheit 13 schafft es eine sehr weitreichende „Beschwerdebefugnis“ für jeden Nutzer. Der Netzwerkbetreiber muss sein Beschwerdemanagement so einrichten, dass auf eine Kenntnis von Rechtsverstößen reagiert wird, gleichgültig auf welchem Wege diese Kenntnis verschafft wurde. Die Beschwerde wird daher zum entscheidenden, Handlungspflichten begründenden Moment. Beschweren kann sich nach dem Gesetz jeder Nutzer,
20 OLG Köln v. 13.10.2016 – 15 U 173/15, MMR 2017, 549 Rz. 141.
127
Karl-Nikolaus Peifer
also sowohl Einzelne als auch Gruppen, selbst Institutionen wie die Landesmedienanstalten sind allenfalls durch ihren gesetzlichen Auftrag, nicht aber durch das NetzDG daran gehindert, Strafrechtsverstöße zu melden. Dieser Ansatz ist weitreichend, aber durchaus innovativ, wenn man auch die Selbstverpflichtungen der Unternehmen zum Anlass nimmt, die Einhaltung der eigenen Kommunikationsregeln (Verhinderung von Strafrechtsverstößen) durchzusetzen. Der Ansatz funktioniert im Bereich von Hasskriminalität und einigen weiteren im NetzDG angesprochenen Straftatbeständen (wie etwa die Sperrung kinderpornografischer Inhalte, § 184b StGB) allerdings wesentlich besser, als dies bei Fake News, d. h. der Abwehr unwahrer Tatsachenbehauptungen, der Fall ist. Das soll im Folgenden erläutert werden: 5. Eignung der Störerhaftung als Modell für die Pflichten von Netzbetreibern? 14 Die äußerungsrechtliche Störer- oder mittelbare Verbreiterhaftung hat Schwierigkeiten, die Kenntnisnahme einer unwahren Tatsachenbehauptung beim Provider zu bewirken. Zwar trifft den Provider eine (mittelbare) Verbreiterhaftung, dies jedoch erst ab dem Zeitpunkt, ab dem er eindeutige Kenntnis von einer konkreten Rechtsverletzung hat. Da der Provider nur hostet, nicht aber journalistisch recherchiert (und dies wegen Art. 15 E-Commerce-Richtlinie auch nicht muss), kann er die Wahrheit oder Unwahrheit nicht kennen. Diese Kenntnis fehlt auch noch, wenn ein Betroffener nur behauptet, das über ihn Gehostete sei unwahr. Dies hat die Gerichte veranlasst, ein „Ping-Pong“-System, neutraler: eine Moderation über die Wahrheitsfrage zwischen Betroffenem und Äußerndem in Gang zu setzen. Der Provider muss auf die Anzeige einer Verletzung den Äußernden konsultieren und um Stellungnahme bitten. Liegt die Stellungnahme vor, kann gelöscht werden, wenn Eindeutigkeit über das Vorliegen einer Falschbehauptung besteht21. Das bereits vereinfacht dargestellte System kann sich, um diese Eindeutigkeit zu erreichen, naturgemäß noch erheblich verlängern. Obgleich das System als innovative Idee gelobt wird22, ist es naturgemäß keine angemessene Lösung für die hier besprochenen Fälle, schon deswegen, weil es viel zu rudimentär ist. Jedenfalls aber versagt es in Konstellationen, in denen der Provider keinen Zugang zum Äußernden hat, etwa weil dieser anonym bleibt. Das erschwert die Wahrheitssuche im Dialog von vornherein für Suchmaschinenanbieter23. Erforderlich sind bei Fake News möglicherweise aufwän21 BGHZ 202, 242 Rz. 28 f. – Ärztebewertungsportal II. 22 Ladeur/Gostomczyk, K&R 2017, 390, 393. 23 So OLG Köln v. 13.10.2016 – 15 U 173/15, MMR 2017, 549, Rz. 123.
128
Fake News und Providerhaftung
dige Recherchen des Wahrheitsgehalts im Sinne eines Faktenchecks. Von einer klaren Kenntnisnahme durch den Provider wird man daher selten einmal ausgehen können. Wenn das NetzDG von einem solchen Modell ausgeht, muss man Zweifel äußern, ob das Gesetz hier realistisch ist. 6. Wahrheit in den Medien und das NetzDG Sofern die individuelle Betroffenheit fehlt, hilft das NetzDG nicht bei der 15 Bekämpfung falscher Nachrichten. Die wenigen Vorschriften, nach denen es Anwendung finden könnte, betreffen die Volksverhetzung, insbesondere die sog. „Auschwitz-Lüge“. Ist eine Äußerung so reduziert, dass der Redner schlicht behauptet, Konzentrationslager habe es nie gegeben, mag die offensichtliche Unwahrheit tatsächlich feststehen. Der sog. „Revisionismus“ in der Geschichtsdarstellung ist aber vielfach nicht derart platt. Äußerungen mögen ihrerseits in einen Kontext eingebunden sein, in dem Richtiges, Verzerrtes und Falsches miteinander verbunden werden. Oftmals ist eine Darstellung tendenziös, etwa durch einseitige Zitatverwendung, so dass die Unwahrheit nicht klar kommuniziert wird. Für Wahrheit, Ausgewogenheit und Sachlichkeit in der Darstellung zu 16 sorgen, setzt daher wiederum einen aufwändigen Prozess des „Faktenchecks“ voraus, den Netzwerkbetreiber nach dem NetzDG selbst nicht leisten müssen (unabhängig davon, ob sie es könnten), weil nur die positive Kenntnis von der klaren Rechtsverletzung durch das Beschwerdemanagement bewältigt werden muss. Daher würde die Kenntnis von einer eindeutigen Unwahrheit allenfalls vorliegen, wenn eine strafrechtliche Bewertung durch Strafverfolgungsbehörden oder ein Gericht bereits stattgefunden hat. Damit aber käme der Rechtsschutz oft zu spät, wenn erst ein gerichtliches Verfahren über die konkrete Äußerung eines Nutzers durchgeführt werden müsste. Der Ansatz des Gesetzes, für eine schnelle Löschung vor der viralen Weiterverbreitung zu sorgen, verpufft hier. Letztlich ist „eindeutig unwahr“ nur, was auch die Host Provider ohne 17 weiteres als unwahr einstufen können, also die ganz offensichtliche, ohne Faktencheck erkennbare Lüge. Auch in den nach § 4 Abs. 5 NetzDG erforderlichen Vorabentscheidungen durch das hierfür vom Gesetz für zuständig erklärte AG Bonn dürfte keine andere Entscheidung zu erwarten sein, wenn es um unwahre Tatsachen geht. Die oft angeführte Gefahr eines voreiligen Overblocking ist jedenfalls für die Verbreitung von Tatsachen nicht zu befürchten und daher übertrieben. Kann man also die Wahrheit mit medienrechtlichen Mitteln erzwingen 18 oder jedenfalls die Unwahrheit mit solchen Mitteln bekämpfen? Die Frage darf man bejahen, denn genau dieses Ziel nehmen sich presse- und 129
Karl-Nikolaus Peifer
rundfunkrechtliche Regeln vor, wenn sie den Medienanbietern Sorgfalts-, Vielfalts- und Ausgewogenheitspflichten auferlegen. So formuliert § 10 RStV für Rundfunkveranstalter, dass sie Nachrichten vor ihrer Verbreitung mit der nach den Umständen gebotenen Sorgfalt auf Wahrheit und Herkunft zu prüfen haben. § 5 des Landespressegesetzes NRW formuliert überdies die Pflicht, Druckwerke von strafbaren Inhalten freizuhalten. Für Rundfunk- und Telemedienanbieter folgt diese Pflicht aus §§ 11, 41, 54 Abs. 1 RStV. Die Formulierung aller genannten Vorschriften zeigt aber, dass es stets um die Kontrolle eigener oder zu eigen gemachter Inhalte, also eine journalistisch-redaktionelle Verantwortung für die Äußerungen geht. Diese fehlt Host-Providern und vielfach auch den Betreibern sozialer Netzwerke. Die Durchsetzung von Faktenchecks, von Sorgfaltspflichten beim Hosting setzt daher voraus, dass man in den Betreibern Sozialer Netzwerke etwas sieht, was diese derzeit nach eigenem Verständnis nicht sein wollen und nach Einschätzung Vieler auch nicht sind24. Vor diesem Hintergrund erklären sich Versuche, die Provider stärker in einer täterschaftlichen Rolle zu sehen. So hat die britische Kultusministerin im Oktober 2017 angekündigt, sorgfältig prüfen zu wollen, ob und inwieweit die Betreiber sozialer Netzwerke künftig als „publisher“ qualifiziert werden müssten25. 19 Eine Wahrheits- und Tendenzkontrolle ist in der Tat Bestandteil berufsjournalistischer Rechtspflichten und des journalistischen Selbstverständnisses der Massenkommunikationsanbieter in Deutschland. Schutz vor tendenziösem Verhalten beabsichtigen auch wirtschaftsrechtliche Vorschriften, wie etwa das Verbot der Verschleierung kommerzieller Kommunikation (Schleichwerbung, Produktplatzierung). Doch geht es auch bei diesen Verboten nicht um Regeln des Strafrechts. Das Strafrecht beabsichtigt mit den genannten Vorschriften – wie oft – nur eine Ultima-Ratio-Kontrolle. Der Wahrheitsschutz gehört nur in sehr wenigen Ausnahmefällen zu diesem Kontrollsystem. Tendenzschutz, Vielfaltskontrolle und Sachlichkeit in der Darstellung von Fakten, die Trennung von Meinung und Kommentar, die Kennzeichnung von Werbung, wenn diese in redaktioneller Form erscheint, sind strafrechtlich nicht abgesichert.
24 Anders ist es möglicherweise, wenn man von einer „Internetfreiheit“ auch der Provider ausgeht, so etwa Mecklenburg, ZUM 1997, 525. Dann nämlich müsste man auch zu der Frage Stellung nehmen, ob diese Freiheit eine „dienende“ ist, also vom Gesetz positiv geordnet werden, ggf. daher auch mit Sorgfaltspflichten versehen werden muss, vgl. Franzius, JZ 2016, 650, 654. 25 https://www.theguardian.com/technology/2017/oct/11/government-considers-classifying-google-facebook-publishers.
130
Fake News und Providerhaftung
IV. Ergebnis Soweit das NetzDG die Abwehr von Fake News als Regelungsziel for- 20 muliert, liefert es jedenfalls die falschen Instrumente, wenn es um Nachrichten geht, die über die individuelle Betroffenheit oder über eindeutige Sprechtabus hinausgehen. Auch soweit es um diese Bereiche geht, ist zur Ermittlung der offensichtlichen Unwahrheit einer Äußerung vielfach ein Faktencheck erforderlich, der eine sofortige Löschung schwierig macht. Wollte man den Diskurs in Netzwerken von Unwahrheiten freihalten und auch den Einsatz automatisierter Werkzeuge wie Social Bots unterbinden, müsste man den Betreibern der Netzwerke Verkehrspflichten auferlegen, die vielfach von Art. 15 ECRL untersagte allgemeine Überwachungspflichten zur Folge hätten. Die Auferlegung redaktioneller Pflichten hätte zur Voraussetzung, dass Netzwerkbetreiber redaktionell arbeiten oder eine Situation eintritt, in der die Kommunikation über die Netzwerke so bedeutsam wird, dass grundrechtliche Schutzpflichten ein Einschreiten des Mediengesetzgebers erfordern. Ob dies der Fall ist, hängt durchaus auch eng mit der grundrechtlichen Absicherung der Netzwerkbetreiber zusammen. Es gibt Gründe dafür, dass Netzwerkbetreiber bis heute nicht allzu sehr darauf bestehen, unter den Schutzbereich des Art. 5 Abs. 1 S. 1, 1. Alt. oder gar des Art. 5 Abs. 1 S. 2 GG gefasst zu werden. Die vermeintliche Wohltat kann nämlich aus deutscher Sicht durchaus dazu führen, dass mit der Freiheit auch Verantwortung einhergeht.
131
Softwarelizenzen auf der Blockchain Ein rechtssicheres Verfahren für das Management von Softwarelizenzen Walter Blocher/Alexander Hoppen/Peter Hoppen* I. Ausgangslage und Motivation 1. UsedSoft und das Problem der Doppelnutzung 2. Vergleich mit der Dematerialisierung im Wertpapiergeschäft 3. Erfordernis des Nachweises der Rechtekette II. Lösungsansatz unter Nutzung der Distributed Ledger Technology 1. Blockchain als Grundlage 2. Herausforderungen für die Lizenzverwaltung auf der Blockchain 3. License on Blockchain – Überblick über das Verfahren 4. Inhalt eines LOB-Zertifikats III. Technische Umsetzung 1. Payload von LOB-Transaktionen 2. Nachweis der Zuordnung von Lizenzen (LOB-Algorithmus) IV. Typische Anwendungsfälle (Use Cases)
1. Erstbescheinigung einer Lizenz durch den Softwarehersteller 2. Erstbescheinigung einer Lizenz durch eine alternative Bescheinigungsstelle 3. Übertragung einer Softwarelizenz 4. Terminieren einer Lizenzbescheinigung durch den Lizenznehmer 5. Widerruf einer Lizenzbescheinigung durch die Bescheinigungsstelle 6. Nachweis der Lizenzkette 7. Zeitlich befristete Lizenzierung (Mietmodell) V. Automatisierte Lizenzvalidierung durch die Softwareinstallation 1. LOB-Zertifikat im JSON-Format 2. Bindung der Lizenz an eine konkrete Softwareinstallation 3. Lizenzprüfung durch die installierte Software VI. Zusammenfassung und Ausblick
* Prof. Dr. Dr. Walter Blocher leitet am Institut für Wirtschaftsrecht der Universität Kassel das Fachgebiet Bürgerliches Recht, Unternehmensrecht und Informationsrecht. Er ist Jurist und Wirtschaftsinformatiker und beschäftigt sich u.a. mit Fragen des Softwareschutzes sowie – im Rahmen der DLT-Forschungsgruppe der Universität Kassel – mit der Distributed Ledger Technology (Blockchain, Bitcoin, Smart Contracts). Alexander Hoppen ist B.Sc. Informatik (RWTH Aachen) und Student der Informatik. Er verbringt zurzeit ein Auslandsjahr an der University of Edinburgh. Dr.-Ing. Peter Hoppen ist Dipl.-Informatiker und als öffentlich bestellter und vereidigter IT-Sachverständiger bei Streitz Hoppen & Partner tätig. Er beschäftigt sich regelmäßig mit praktischen Anwendungsfragen des Softwareschutzes und des Gebrauchtsoftwarehandels.
133
Walter Blocher/Alexander Hoppen/Peter Hoppen
Dieser Beitrag zeigt, wie sich Lizenzbescheinigungen und -übertragungen auf einer Blockchain fälschungssicher und beweiskräftig dokumentieren lassen. Dabei wird zum einen die Verwaltung von Rechten auf der Blockchain prinzipiell erläutert und zum anderen ein konkret implementierbares Verfahren präsentiert und zur Diskussion gestellt. Neuartig gegenüber bisher beschriebenen Ansätzen ist bei dem hier vorgestellten Verfahren die Verknüpfung einer Kette von Lizenztransaktionen auf der Blockchain mit einem Zertifikat, das Angaben über die Softwarelizenz als solche und zum Nachweis der Identität jener Stelle enthält, welche die Lizenz bescheinigt hat. Damit sind die hohen Anforderungen, die von der aktuellen Rechtsprechung an den Handel mit gebrauchter Software gestellt werden, erfüllbar. Das Verfahren kann von Softwareherstellern oder mit deren Unterstützung genutzt werden, es lässt sich aber auch ohne Kooperation des Herstellers der jeweiligen Software anwenden. I. Ausgangslage und Motivation 1 Softwareprodukte sind Wirtschaftsgüter mit häufig hohem wirtschaftlichem Wert, wegen ihrer digitalen „Natur“ aber leicht kopierbar und daher verletzlich. Nachdem die Softwarehersteller zunächst ab den 1970er-Jahren mit immer ausgeklügelteren, letztlich aber doch nicht unüberwindlichen Kopierschutzmechanismen die Früchte ihres Schaffens schützen wollten, wurden in den 1980er-Jahren in einigen nationalen Rechtsordnungen flankierende rechtliche Schutzmaßnahmen verankert1. Dass die jeweils unterschiedlichen Regelungen das Funktionieren des Binnenmarktes für Software zu gefährden drohten, rief schließlich den europäischen Gesetzgeber auf den Plan, der 1991 mit der SoftwareRL2, die er 1993 inhaltlich änderte und – aus Gründen der Klarheit und Übersichtlichkeit – im Jahr 2009 in kodifizierter Fassung3 erließ, für eine Harmonisierung des Rechtsschutzes von Computerprogrammen sorgte.
1 Vgl. Kilian, Entwicklungsgeschichte und Perspektiven des Rechtsschutzes von Computersoftware in Europa, GRUR Int 2011, 895. 2 Richtlinie 91/250/EWG des Rates v. 14.5.1991 über den Rechtsschutz von Computerprogrammen, ABl. Nr. L 122 v. 17.5.1991, S. 42. 3 Richtlinie 2009/24/EG des Europäischen Parlaments und des Rates v. 23.4.2009 über den Rechtsschutz von Computerprogrammen, ABl. Nr. L 111 v. 5.5.2009, S. 16.
134
Softwarelizenzen auf der Blockchain
1. UsedSoft und das Problem der Doppelnutzung Das Herzstück der Software-RL bildet die mit Hilfe der dogmatischen 2 Konstruktion von Regel und Ausnahme vorgenommene Umschreibung der dem Rechtsinhaber zustehenden Ausschließlichkeitsrechte. Während Art. 4 Software-RL den Kreis der zustimmungsbedürftigen Handlungen weit zieht, sieht Art. 5 Software-RL im Interesse des Programmerwerbers gewisse Schranken der absolut wirkenden Ausschließlichkeitsrechte vor4. Reichweite und Zusammenspiel der in Art. 4 Abs. 2 Software-RL geregelten Erschöpfung des Verbreitungsrechts an einer Programmkopie und der mit Art. 5 Abs. 1 Software-RL normierten Zustimmungsfreiheit der für die bestimmungsgemäße Benutzung des Computerprogramms durch den rechtmäßigen Erwerber notwendigen Handlungen bildeten den Gegenstand des vielbeachteten UsedSoft-Urteils des EuGH5 zum Handel mit Gebrauchtsoftware. Die vom BGH initiierte6 und in der Folge mehrfach bekräftigte7 Entscheidung stellte klar, dass die Erschöpfung des Verbreitungsrechts an einer Programmkopie nicht nur durch den mit Zustimmung des Rechtsinhabers erfolgenden Vertrieb körperlicher Vervielfältigungsstücke ausgelöst wird, sondern auch durch Download, wenn der Rechtsinhaber dem Ersterwerber ein zeitlich unbefristetes Nutzungsrecht am Computerprogramm eingeräumt und dem Herunterladen der Kopie aus dem Internet auf einen Datenträger grundsätzlich (nicht notwendigerweise auch für eine entsprechende Anzahl von Kopien) zugestimmt hat. Der Zweiterwerber und jeder weitere Erwerber bedarf als „rechtmäßiger Erwerber“ für jene Handlungen, die für die bestimmungsgemäße Softwarenutzung notwendig sind, nicht der Zustimmung des Rechtsinhabers. Dem entgegenstehende Bestimmungen eines Lizenzvertrags sind insoweit unwirksam8. Als Hauptargument gegen eine derartige Erleichterung des Zweitmark- 3 tes für Software hatten die großen Hersteller stets das praktische Problem ins Feld geführt, die Gefahr der Doppel- und Mehrfachnutzung
4 Vgl. Blocher in Walter/von Lewinski (Hrsg.), European Copyright Law (2010), Rz. 5.5.6 ff. 5 EuGH v. 3.7.2012 – C-128/11, ITRB 2012, 171 = CR 2012, 498. 6 Vorlagebeschluss BGH v. 3.2.2011 – I ZR 129/08, ITRB 2011, 75 = CR 2011, 223 – UsedSoft. 7 BGH v. 17.7.2013 – I ZR 129/08, ITRB 2014, 75 = CR 2014, 168 – UsedSoft II; BGH v. 11.12.2014 – I ZR 8/13, CR 2015, 429 – UsedSoft III; BGH v. 19.3.2015 – I ZR 4/14, ITRB 2015, 277 = CR 2015, 711 – Green-IT. 8 BGH v. 19.3.2015 – I ZR 4/14, ITRB 2015, 277 = CR 2015, 711 – Green-IT, Rz. 38.
135
Walter Blocher/Alexander Hoppen/Peter Hoppen
hintanzuhalten9. Der EuGH ging durchaus auf diese Bedenken ein. Zum einen statuierte er die Verpflichtung des Ersterwerbers, zum Zeitpunkt des Weiterverkaufs seine eigene Kopie unbrauchbar zu machen. Zum anderen stellte er den Softwareherstellern anheim, „mit allen [..] zur Verfügung stehenden technischen Mitteln sicherzustellen, dass die beim Verkäufer noch vorhandene Kopie unbrauchbar gemacht wird“10, um Doppelnutzungen zu verhindern und verweist dabei exemplarisch auf die Anwendung von Produktschlüsseln11. 4 Als weiteres Mittel zur Bekämpfung der von ihnen so bezeichneten „Softwarepiraterie“ verwenden Hersteller nach wie vor das Echtheitszertifikat (Certificate of Authenticity – COA). Um die immaterielle Softwarelizenz an eine physische Entität zu binden, versehen sie dabei Klebeetiketten oder Lizenzurkunden mit von Geldscheinen bekannten Sicherheitsmerkmalen wie Kippeffekten und Hologrammen oder verbergen den Produktschlüssel unter Rubbelschichten, ähnlich wie bei Lotterielosen. 2. Vergleich mit der Dematerialisierung im Wertpapiergeschäft 5 Im echten Wertpapiergeschäft ist die Verkörperung von Rechten in Einzelurkunden freilich längst überholt: Schon vor 45 Jahren, im Mai 1972, wurde nämlich der Effektengiroverkehr eingeführt, ohne den im Massenverkehr ein ordentliches Effektenwesen gar nicht mehr denkbar wäre. Dabei ist weder für die Geltendmachung noch für die Übertragung des Rechts der Besitz eines Papiers erforderlich. Selbst Globalurkunden, die nur eine Zwischenstufe auf dem Weg zum Wertrecht bilden, finden immer seltener Verwendung. Bei der sog. „stückelosen“ Verwahrung werden dematerialisierte Wertpapiere vom Anleger bei der Depotbank „hinterlegt“, die selbst wiederum einem Zentralverwahrer angeschlossen sind (für Deutschland und Luxemburg wird diese Funktion von der Clearstream International SA, einer 100 %-igen Tochter der Deutsche Börse AG mit Sitz in Luxemburg, wahrgenommen, für Österreich von der Oesterreichische Kontrollbank AG und für die Schweiz von der SIX Group AG). Wenn etwa Kunden einer Depotbank untereinander einen Kaufvertrag über Aktien schließen, kann das Geschäft direkt von der De9 Zu den auch nach UsedSoft bestehenden Möglichkeiten, diese zu minimieren, vgl. Ulmer/Hoppen, Digitale Kopie: Neue Optionen für Software-Hersteller nach der „Oracle“-Entscheidung des EuGH, GRUR-Prax 2012, S. 569 ff. 10 EuGH v. 3.7.2012 – C-128/11, ITRB 2012, 171 = CR 2012, 498 – UsedSoft, Rz. 87. 11 EuGH v. 3.7.2012 – C-128/11, ITRB 2012, 171 = CR 2012, 498 – UsedSoft, Rz. 79.
136
Softwarelizenzen auf der Blockchain
potbank abgewickelt werden. Handeln jedoch Kunden verschiedener Depotbanken miteinander, wird der Deal über jenen Zentralverwahrer abgewickelt, mit dem beide Depotbanken verbunden sind. Dieses System hat den Vorteil, dass die Depotbanken nicht eine technische Anbindung an jede andere Depotbank benötigen, sondern lediglich mit einem Zentralverwahrer verknüpft sein müssen, um Transaktionen zu Kunden anderer Depotbanken abwickeln zu können. Als internationale Zentralverwahrer fungieren in Europa die Euroclear Bank (Brüssel) und Clearstream Banking (Luxemburg), die untereinander wiederum durch die „Bridge“ verbunden sind12. 3. Erfordernis des Nachweises der Rechtekette Fraglos könnte ein vergleichbares System dematerialisierter Lizenzen 6 auch den Softwarehandel erleichtern und zugleich die Gefahr der Doppel- und Mehrfachnutzung entscheidend verringern, da Softwareanwender jederzeit und unabhängig vom jeweiligen Hersteller beweisen könnten, dass sie die Software auf der Grundlage ausreichender Befugnisse nutzen. Dass ausgerechnet Hightech-Unternehmen wie Softwareproduzenten bislang nichts dergleichen auf den Weg brachten, sondern nach wie vor auf „Materialisierung“ setzen, um ihre immateriellen Produkte zu schützen, liegt daran, dass sie – verständlicherweise – kein Interesse an einer Zweitverwertung von Softwarelizenzen haben. Vor dem Hintergrund des Fehlens eines Giroverkehrs für Software, der 7 Verfügungen durch Umbuchungen und Beweise durch Kontoauszüge ermöglichen würde, stellt das OLG Hamburg13 hohe, wenn nicht zu hohe, Anforderungen an den Zweitmarkt für Software. Unter Bezugnahme auf die bereits erwähnten BGH-Entscheidungen geht es in seiner einstweiligen Verfügung nämlich davon aus, dass der Veräußerer den Folgeerwerber über die Voraussetzungen für die Erschöpfung des Verbreitungsrechts informieren und die „Rechtekette“14, also die Vorwerber der Programmkopien, 12 Zur Entmaterialisierung der Wertpapiere im Effektengiroverkehr vgl. ausführlich BeckOGK BGB/Vogel, 1.2.2017, BGB § 793 Rz. 56 ff. 13 OLG Hamburg, Beschl. v. 16.6.2016 – 5 W 36/16, CR 2016, 642 – Gebrauchter Produktschlüssel. 14 Dieser Begriff ist nicht mit der „Lizenzkette“ zu verwechseln, die mit dem Gesetz zur verbesserten Durchsetzung des Anspruchs der Urheber und ausübenden Künstler auf angemessene Vergütung und zur Regelung von Fragen der Verlegerbeteiligung, BGBl. I Nr. 63/2016 m.W.v. 1.3.2017, in Gestalt des neu eingefügten § 32e Einzug in das UrhG gehalten hat. Bei dieser geht es um Unterlizenzierungen durch den Inhaber eines ausschließlichen Nutzungsrechts, während mit „Rechtekette“ im gegebenen Kontext die Weiterüber-
137
Walter Blocher/Alexander Hoppen/Peter Hoppen
mitteilen sowie entsprechende Nachweise zur Verfügung stellen müsse. Die bisherige Praxis von Gebrauchtsoftwarehändlern, dem Folgeerwerber eine notarielle Bestätigung darüber auszuhändigen, dass dem Notar eine Erklärung des Vorerwerbers vorgelegen habe, wonach dieser rechtmäßiger Inhaber der Lizenzen gewesen sei und Programmkopien vollständig von seinen Rechnern entfernt habe, genügt diesem Anspruch nicht. II. Lösungsansatz unter Nutzung der Distributed Ledger Technology 8 Um den mit UsedSoft ./. Oracle erstrittenen und durch die Folgeentscheidungen bestätigten Zweitmarkt für Software nicht bloß theoretisch zu ermöglichen, praktisch aber an den hohen, darin zum Ausdruck gebrachten Anforderungen scheitern zu lassen, bedarf es einer Lösung für das sich aus der Darlegungs- und Beweislast des Folgeerwerbers ergebende Problem. Er ist in die Lage zu versetzen, die Voraussetzungen für die Erschöpfung des Verbreitungsrechts und für die Zustimmungsfreiheit der bestimmungsgemäßen Nutzung eindeutig zu belegen. Der dafür zu betreibende Aufwand soll sich dabei in engen Grenzen halten, um den aus dem Erwerb von Gebrauchtsoftware erwarteten Kostenvorteil nicht zu nivellieren. 9 Selbst wenn ein Giroverkehr für Software wesentlich effizienter wäre, als der derzeitige unbefriedigende Zustand des Software(zweit)marktes, gelten Girosysteme inzwischen selbst nicht mehr als der Weisheit letzter Schluss. So sind Depotbanken, Zentralverwahrer und weitere Intermediäre – nicht zuletzt wegen des eingeschränkten Wettbewerbs – wenig innovativ sowie kosten- und fehlerträchtig. Es verwundert daher nicht, dass Finanzdienstleister fieberhaft nach Wegen suchen, Wertpapiertransaktionen effizienter zu gestalten. Größte Hoffnungen werden dabei in die Distributed Ledger Technolgy (DLT) gesetzt15. Innerhalb weniger Jahre etablierte sie sich nicht nur als Grundlage der virtuellen Währung Bitcoin, sondern als Basistechnologie verteilter, öffentlich einsehbarer und nicht veränderbarer Register (engl. ledger)16. So ist etwa die Abrufbarkeit der Transaktionen in der Bitcoin-Blockchain vergleichbar mit der Einsichtnahme in das Grundbuch oder das Handelsregister. Im Unterschied
tragung einer (in aller Regel nicht ausschließlichen) Softwarelizenz und (im Zusammenhang mit dem Eintritt der Erschöpfung des Verbreitungsrechts) die Verschaffung der Position eines „rechtmäßigen Erwerbers“ gemeint ist. 15 Vgl. European Securities and Market Authority, Report: The Distributed Ledger Technology Applied to Securities Markets (2017), passim. 16 Vgl. Jacobs/Lange-Hausstein, Blockchain und Smart Contracts: zivil- und aufsichtsrechtliche Bedingungen – Funktionen, Anwendungsfälle, Perspektiven der Blockchain-Technologie, ITRB 2017, 10 ff.
138
Softwarelizenzen auf der Blockchain
dazu kann der Zugriff auf die Blockchain aber weltweit und augenblicklich vorgenommen werden17. In diesem Beitrag wird ein Framework vorgestellt, auf dessen Grundlage 10 die Verwaltung von Softwarelizenzen und insbesondere die ursprüngliche Zuordnung sowie die folgenden Übertragungen von Nutzungsrechten oder die Verschaffung der Position eines „rechtmäßigen Erwerbers“18 auf einer Blockchain erfolgen können. Der Käufer von Gebrauchtsoftware soll damit in die Lage versetzt werden, eindeutig nachzuweisen, dass er zu einem gegebenen Zeitpunkt alleiniger Inhaber ausreichender Softwarelizenzen war bzw. ist (diese also nicht im Laufe der Zeit an mehrere Erwerber übertragen wurden), und die Rechtekette darzustellen, über die er Nutzungsberechtigter oder zumindest rechtmäßiger Erwerber (und damit zur zustimmungsfreien bestimmungsgemäßen Nutzung befugt) wurde. Überdies sollen Softwareinstallationen eigenständig durch Einsichtnahme in die Blockchain erkennen können, ob der Betreiber über eine passende Nutzungslizenz verfügt, um darauf entsprechend zu reagieren (bspw. durch Meldungen, reduzierten Funktionsumfang oder Abbruch der Verarbeitung). 1. Blockchain als Grundlage Grundidee einer Blockchain ist es, ein Netzwerk von nicht notwendiger- 11 weise vertrauenswürdigen Knoten zu etablieren (trustless trust), die in ihrem Zusammenspiel eine verteilte Datenbank von festgeschriebenen validen Transaktionen bilden (distributed ledger)19. Eine Transaktion kann dabei mehrere Eingänge und mehrere Ausgänge haben, wobei der (ggf. mehrere) hinsichtlich der Eingänge bislang Befugte die Ausgänge durch elektronische Signaturen dem (ggf. mehreren) dadurch nunmehr Befugten neu zuordnet („Weitergabe“). In regelmäßigen Abständen werden neu angefallene Transaktionen in einem Block zusammengestellt, der an das Ende der Blockchain gehängt wird. Sowohl die in einer Eingangs-Ausgangs-Relation befindlichen Transaktionen als auch die zeitlich unmittelbar aufeinanderfolgenden Blöcke sind durch Hashwerte miteinander verknüpft, wobei durch Letzteres eine Kette von Blöcken, die Blockchain, entsteht. 17 Vgl. Blocher, The next big thing: Blockchain – Bitcoin – Smart Contracts: Wie das disruptive Potential der Distributed Ledger Technology (nicht nur) das Recht fordern wird, AnwBl 2016, 612 ff. 18 Vgl. Blocher in Walter/von Lewinski (Hrsg.), European Copyright Law (2010), Rz. 5.5.10 ff. 19 Vgl. Kaulartz, Die Blockchain-Technologie, CR 2016, 474 ff.; Kaulartz/Heckmann, Smart Contracts – Anwendungen der Blockchain-Technologie, CR 2016, 618 ff.
139
Walter Blocher/Alexander Hoppen/Peter Hoppen
12 Zur Generierung eines validen neuen Blocks ist eine rechenintensive Aufgabe (Proof-of-Work) zu lösen. Dies erfolgt in einem rivalisierenden Prozess durch sog. Miner (Betreiber von Mining-Knoten). Ein neugebildeter Datenblock muss von der Mehrzahl der Knoten akzeptiert und bestätigt werden, bevor er dauerhaft in der Blockchain verbleibt. Nimmt ein korrupter Knoten invalide Transaktionen (bspw. die doppelte Ausgabe einer Münze, das sog. double spending) in einen neuen Datenblock auf, akzeptieren die übrigen Knoten diesen gegen das Protokoll verstoßenden Block nicht. Durch den Proof-of-Work-Mechanismus werden Transaktionen daher wirksam gegen nachträgliche Veränderungen geschützt. a) Nachweis der Verfügungsbefugnis 13 Eine elektronische Münze, bspw. ein Bitcoin (BTC), wird in einer Blockchain als eine Folge von Transaktionen repräsentiert, welche jeweils die Weitergabe von einem Befugten zum nächsten bestätigen. Die Befugnis, über eine elektronische Münze zu verfügen, wird in der Blockchain dadurch nachgewiesen, dass –
es eine lückenlose Kette von Transaktionen bis hin zu einer Empfänger-Adresse des Befugten gibt und
–
noch keine Transaktion existiert, mit der die elektronische Münze von der jeweiligen Empfänger-Adresse des Befugten an eine andere Empfänger-Adresse weitergegeben wurde.
b) Wirtschaftlicher Anreiz zum Mining 14 Der Mining-Prozess ist so gestaltet, dass er einen wirtschaftlichen Anreiz schafft, die Mining-Knoten zu betreiben. Als Belohnung für dessen Generierung darf der erfolgreiche Miner mit dem von ihm gebildeten neuen Block eine festgelegte Anzahl neuer elektronischer Münzen einer eigenen Empfänger-Adresse – und damit sich selbst – zuordnen und erhält zusätzlich alle Transaktionsgebühren, die in den Transaktionen dieses Blocks (freiwillig, um sie in den Prioritätenlisten der Miner nach oben zu bringen und damit rasch bestätigen zu lassen) angeboten wurden. Die Miner können die bei ihnen anfallenden elektronischen Münzen (in der Bitcoin-Blockchain wird etwa alle zehn Minuten ein neuer Block gebildet, für den es aktuell 12,5 BTC Block Reward gibt) über BlockchainTransaktionen im Austausch gegen andere Güter weitergeben20.
20 Vgl. Nakamoto, Bitcoin: A peer-to-peer electronic cash system, 2008 (https:// bitcoin.org/bitcoin.pdf). Eine detaillierte Zusammenfassung findet sich etwa
140
Softwarelizenzen auf der Blockchain
2. Herausforderungen für die Lizenzverwaltung auf der Blockchain Bei der Verwaltung von Softwarelizenzen auf einer Blockchain ist sicher- 15 zustellen, dass –
Nachweis der Zuordnung: die aufrechte (oder auch historische) technische Zuordnung („Innehabung“) einer Softwarelizenz gegenüber Dritten nachvollziehbar bewiesen werden kann, d. h. dass verzeichnete Übertragungen weder veränderbar noch löschbar sowie möglichst öffentlich einsehbar und nachprüfbar sind, und
–
Einmaligkeit der Zuordnung: eine Softwarelizenz im Fall des Gebrauchtsoftwarehandels vom jeweiligen Inhaber nicht mehrfach an unterschiedliche Empfänger weitergegeben werden kann (kein double spending).
Für die Softwarelizenzverwaltung sind also prinzipiell gleiche Fragen zu klären wie für die Verwaltung virtueller Währungseinheiten. Allerdings handelt es sich bei Softwarelizenzen um heterogene Güter, während bei der Implementierung einer virtuellen Währung nur Einheiten eines homogenen Guts, nämlich elektronische Münzen, in variabler Quantität zu übertragen sind. Im Fall einer virtuellen Währung reicht es aus, wenn in der jeweiligen Transaktion ein bestimmter Währungsbetrag angegeben wird21. Bei Lizenzübertragungen sollen hingegen auf der gleichen Blockchain etwa sowohl Microsoft Word-Lizenzen als auch SAP Professional User-Lizenzen übertragen werden können. Es muss also ein Mittel gefunden werden, die jeweilige Softwarelizenz mit ihrem Inhalt und Umfang an Blockchain-Transaktionen zu binden. 3. License on Blockchain – Überblick über das Verfahren Das hier vorgestellte Verfahren soll als License on Blockchain oder kurz 16 LOB bezeichnet werden. Es basiert darauf, dass für eine erteilte Softwarelizenz –
ein Lizenzzertifikat (LOB-Zertifikat) durch eine Bescheinigungsstelle erstellt und signiert wird und
in Burgwinkel, Blockchain Technology: Einführung für Business- und IT Manager (2016). 21 Vgl. hierzu erste gedankliche Ansätze von Fortin, Master Bitcoin – The Proof of Ownership, 2011 (https://frozenlock.files.wordpress.com/2011/11/masterbitcoin.pdf) und Herbert/Litchfield, A Novel Method for Decentralised Peerto-Peer Software License Validation Using Cryptocurrency Blockchain Technology, Proceedings of the 38th Australasian Computer Science Conference (ACSC 2015), S. 27-35.
141
Walter Blocher/Alexander Hoppen/Peter Hoppen
–
dieses LOB-Zertifikat in einer Blockchain mit einer oder mehreren Transaktionen, die als LOB-Transaktionen gekennzeichnet sind, mit einer Blockchain-Adresse verknüpft wird.
a) Nachweis der Zuordnung 17 Der Nachweis der Zuordnung einer Softwarelizenz erfolgt durch Vorlage des LOB-Zertifikats und die in der Blockchain öffentlich nachprüfbar eingetragene Kette von LOB-Transaktionen, deren letztes Glied eine Empfänger-Adresse bildet, für die der Beweisführende über den passenden privaten Schlüssel verfügt. 18 Das Prinzip wird in dem – aus Darstellungsgründen zunächst vereinfachten – Algorithmus in Abbildung 1 dargestellt.
Abbildung 1: Algorithmisches Prinzip zur Feststellung der Lizenzen auf einer Blockchain-Adresse
Der Algorithmus führt im Grundsatz eine rekursive Suche durch den Blockchain-Transaktionsgraphen aus, wobei er die Differenz zwischen den validen eingehenden und den validen ausgehenden LOB-Transaktionen berechnet und diese Differenz als Lizenzmenge ausgibt. b) Übertragung einer Softwarelizenz 19 Soll eine mittels LOB verwaltete Softwarelizenz übertragen werden, erstellt der aktuelle Befugte (in der Folge etwas vereinfachend auch „Li142
Softwarelizenzen auf der Blockchain
zenzinhaber“ genannt) eine LOB-Transaktion, welche die Lizenz einer (in der Bitcoin-Blockchain als Bitcoin-Adresse bezeichneten) EmpfängerAdresse des Folgeerwerbers zuordnet, und übergibt diesem das papiergebundene Original des LOB-Zertifikats oder stellt ihm ggf. die Kopie einer Zertifikatsdatei zur Verfügung. Wegen dieser Transaktion finden sich unter der Blockchain-Adresse des Ersterwerbers nun genauso viele ausgehende wie eingehende LOB-Transaktionen. Damit ist er nicht mehr der Lizenzinhaber. Die LOB-Transaktion zu der Empfänger-Adresse des Folgeerwerbes dagegen lässt sich auf die im LOB-Zertifikat vermerkte Blockchain-Adresse der Bescheinigungsstelle zurückführen und stellt damit den Nachweis für die nunmehrige Zuordnung der Lizenz dar. c) Unabhängigkeit von spezifischem Blockchain-Protokoll Das Verfahren setzt kein spezifisches Blockchain-Protokoll voraus, kann 20 also prinzipiell nicht nur auf der Bitcoin-Blockchain, sondern auch auf Litecoin, Ethereum oder einer kommerziellen Blockchain22 implementiert werden. Essentiell sind jedoch folgende Punkte: –
Transaktionen: Die zugrundliegende Blockchain besteht aus einem gerichteten Graphen von Transaktionen zwischen jeweils einer oder mehreren Sender-Adressen und einer oder mehreren EmpfängerAdressen.
–
Payload: Diesen Transaktionen kann eine sog. Payload angehängt werden, über die sich Lizenz-Transaktionen kennzeichnen und eine Verknüpfung von der Transaktion zu dem Lizenzzertifikat herstellen lassen. Der Graph aller Lizenz-Transaktionen auf dem gesamten Transaktionsnetz kann als zusätzlicher Layer (LOB-Layer) auf der Blockchain angesehen werden. Alle bekannten Blockchain-Protokolle verfügen über einen solchen Payload-Mechanismus.
d) Lizenzzertifizierung und Nutzer-Wallet In dem LOB-Zertifikat sind sämtliche erforderlichen Angaben zu der 21 erteilten bzw. übertragenen Lizenz zusammengestellt. Der Aussteller des Zertifikats (die Bescheinigungsstelle) vermerkt dort zusätzlich eine eigene Blockchain-Adresse und stellt damit einen Rückverweis vom Zertifikat auf die Blockchain her. Das Zertifikat wird von der Bescheinigungsstelle elektronisch signiert und dadurch gegen Manipulationen geschützt.
22 Etwa von IBM (Hyperledger Fabric) oder von Microsoft (Blockchain-as-aService, BaaS).
143
Walter Blocher/Alexander Hoppen/Peter Hoppen
22 Die Bescheinigungsstelle kann, muss aber nicht der Softwarehersteller sein. In dem hier vorgestellten Verfahren wird bewusst auf eine zwingende Kooperation der Softwarehersteller verzichtet. Es bedarf keiner übergeordneten Wurzelinstanz oder Akkreditierung solcher Instanzen. Bescheinigungsstellen können beispielsweise sein: –
der Softwarehersteller, der dem Ersterwerber einer Lizenz ein Echtheitszertifikat gemäß dem hier vorgestellten Verfahren ausstellt (die Ausstellung kann mit Lizenzerteilung oder auch nachträglich auf Anfrage erfolgen),
–
ein Auditing-Dienstleister, der ohnehin im Auftrag von Softwareherstellern agiert und deswegen Lizenzprüfungen besonders qualifiziert unter Rückgriff auf Lizenzdatenbanken des jeweiligen Softwareherstellers durchführen kann, oder
–
eine sonstige Instanz, die in der Lage ist, qualifizierte Lizenzprüfungen durchzuführen, und eine Haftung für das ausgestellte LOB-Zertifikat übernimmt. Das könnte bspw. ein etablierter Gebrauchtsoftwarehändler im Zusammenspiel mit einem befähigten SAM-Spezialisten23 sein, der sich vergewissert, dass der vorgebliche Lizenzinhaber zu einem gewissen Zeitpunkt (insb. aufgrund einer geschlossenen Rechtekette) Nutzungsberechtigter oder zumindest rechtmäßiger Erwerber der Software und damit Inhaber einer übertragbaren Softwarelizenz ist.
23 Sobald die originäre LOB-Transaktion mit der initialen Bestätigung24 einer Bescheinigungsstelle erfolgt ist, können LOB-Transaktionen zur Weitergabe der Lizenz an einen Folgeerwerber ohne Mitwirkung eines Intermediärs auf der Blockchain vorgenommen werden. Die Mechanismen der Bitcoin-Blockchain sorgen zwingend dafür, dass die Softwarelizenz nicht dupliziert werden kann. Damit lassen sich sowohl der Fall einer nicht teilbaren Mehrfachlizenz als auch der Fall eines Lizenzpakets von mehreren auch einzeln weiterveräußerbaren Lizenzen abbilden. 24 In der Praxis wird zur Implementation des Verfahrens eine Wallet-Software gehören. Die Bescheinigung und die Übertragung von Softwarelizenzen erfolgen aus Anwendersicht dann genauso, wie ein Bezahlvorgang auf der Blockchain, wobei im Bediendialog die Zuordnung zu dem Lizenzzertifikat herzustellen ist. Hierfür kann auf den entsprechend an-
23 SAM: Software Asset Management. 24 Die initiale Bestätigung wird in Anlehnung an die Terminologie des ColoredCoins-Protokolls als genesis transaction bezeichnet.
144
Softwarelizenzen auf der Blockchain
zupassenden Open-Source-Code gängiger Wallets für Kryptowährungen zurückgegriffen werden. 4. Inhalt eines LOB-Zertifikats Das LOB-Verfahren setzt kein zentrales Verzeichnis zur Zertifizierung 25 oder Akkreditierung von Bescheinigungsstellen voraus. Im Prinzip kann jedermann LOB-Transaktionen auf der Blockchain erstellen. Deswegen ist es erforderlich, dass die Identität und die Vertrauenswürdigkeit der Bescheinigungsstelle auf anderem Wege nachgewiesen werden. Dies erfolgt über das LOB-Zertifikat. Darin übernimmt die Bescheinigungsstelle rechtsverbindlich die Haftung für die Richtigkeit der bescheinigten Lizenz und schafft damit die Basis für das Vertrauen in die Lizenzbescheinigung. Es muss sichergestellt sein, dass das LOB-Zertifikat tatsächlich von der 26 Bescheinigungsstelle erstellt wurde und nachträglich nicht mehr abgeändert werden kann. Dies könnte durchaus auf der Grundlage einer herkömmlichen papiergebundenen Urkunde erfolgen, die mit Unterschrift und Siegel des Softwareherstellers versehen ist. Es bietet sich aber an, das Lizenzzertifikat als elektronisches Dokument auszugestalten. In diesem Fall ist es mit einer starken elektronischen Signatur auf Basis eines Signaturzertifikats mit strenger Identitätsprüfung (z. B. SSL Class 2 oder höher) zu versehen. Abbildung 2 zeigt ein Muster eines von der Bescheinigungsstelle ausge- 27 stellten LOB-Zertifikats. License on Blockchain-Zertifikat Nr. Ich, , bestätige hiermit, dass
(nachfolgend als „Lizenzinhaber“ bezeichnet) am über Lizenzen des Typs verfügt.
145
Walter Blocher/Alexander Hoppen/Peter Hoppen
Mein Lizenzaudit hat folgendes ergeben:
Entsprechende Belege und Kaufnachweise wurden uns vorgelegt und werden bei uns für die Dauer von.. Jahren archiviert. Kopien dieser Belege hängen dieser Lizenzbestätigung an. Gleichzeitig wurde mir gegenüber seitens des Lizenzinhabers glaubhaft bestätigt, dass a) über diese Lizenzen nicht zwischenzeitlich anderweitig verfügt und b) keine weitere Lizenzbestätigung bei einem anderen Auditor, nach welchem Verfahren auch immer, angefordert wurde. Der Empfänger dieses LOB-Zertifikats hat mir gegenüber schriftlich zugesichert: „Ich werde eine allfällige Weitergabe der hiermit bescheinigten Lizenz(en) durch eine entsprechende LOB-Transaktion (bzw. mehrere LOB-Transaktionen) auf der Blockchain dokumentieren und dem Folgeerwerber eine gleichlautende Obliegenheit unter Verwendung des Wortlauts dieses Absatzes auferlegen. Soll die Übertragung außerhalb des LOB-Verfahrens erfolgen, werde ich zuvor die Lizenzbescheinigung durch eine entsprechende LOB-Transaktion auf der Blockchain terminieren.“.
Dieses LOB-Zertifikat wird dokumentiert durch eine BlockchainTransaktion , die ich in der öffentlich zugänglichen Blockchain unter meiner Absender-Adresse und der Empfänger-Adresse , über die der Lizenzinhaber verfügt, eingetragen habe. Ich halte meine mit diesem LOB-Zertifikat vorgenommene Lizenzbestätigung auch gegenüber jedem Empfänger einer Blockchain-Transaktion aufrecht, die der jeweilige Lizenzinhaber zur Dokumentation einer Veräußerung seiner Lizenz(en) in der Blockchain hinterlegt, vorausgesetzt, der Folgeerwerber hat sich ebenfalls der o. g. Obliegenheit zur Dokumentation weiterer Veräußerungen auf der Blockchain unterworfen. 146
Softwarelizenzen auf der Blockchain
Im Hinblick auf den abgebenden Lizenzinhaber endet durch eine abgebende Transaktion in jedem Fall die Gültigkeit meiner Bestätigung im Umfang der abgegebenen Lizenz(en). Die Validierung der Inhaberschaft der in diesem LOB-Zertifikat beschriebenen Lizenz(en) kann von jedermann mit folgendem Algorithmus vorgenommen werden: . Eine Implementierung dieses Algorithmus ist zum Zeitpunkt der Ausstellung dieses LOB-Zertifikats, ohne Verpflichtung auf dauerhafte Bereitstellung, unter der URL http:// licensecheck..com zu finden. Zur Überprüfung sind dort meine o. g. Blockchain-Adresse (), die Nr. dieser Lizenzbestätigung () und die Blockchain-Adresse des vermeintlichen Lizenzinhabers anzugeben. Signatur:
Abbildung 2: Muster eines LOB-Zertifikats
III. Technische Umsetzung 1. Payload von LOB-Transaktionen Als LOB-Transaktionen werden hier Transaktionen zur Verwaltung von 28 Lizenzen auf der Blockchain bezeichnet. Eine LOB-Transaktion beschreibt immer eine Lizenzübertragung von genau einer Sender- auf genau eine Empfänger-Blockchain-Adresse. Eine Zusammenfassung von Lizenzen aus unterschiedlichen LOB-Zertifikaten oder eine Aufspaltung solcher Zertifikate wird nicht unterstützt, weil diese praktisch nicht erforderlich und rechtlich u. U. problematisch ist. Mit einem LOB-Zertifikat bestätigte Lizenzen aus teilbaren Lizenzpaketen lassen sich dagegen teilen und wieder zusammenzuführen (s. NumLicenses). Jeder LOB-Transaktion werden folgende Payload-Daten beigefügt: –
29
Op-Code: Der Op-Code gibt an, welche der im LOB-Verfahren vorgesehenen Operationen (Lizenzausstellung, Lizenztransfer, Lizenz147
Walter Blocher/Alexander Hoppen/Peter Hoppen
terminierung und Zertifikatswiderruf) jeweils zu verwenden ist. Hierauf wird in Abschnitt 8 im Detail eingegangen. –
NumLicenses: Dieses Feld enthält die Anzahl der unabhängigen Lizenzen gleichen Typs, die auch separat voneinander (gesplittet) weitergegeben werden können. Wird nur eine einzige Lizenz bestätigt, ist hier 1 anzugeben. Dies gilt auch für die Bestätigung eines unteilbaren Pakets von Lizenzen, das nur als Ganzes übertragen werden kann. In diesem Fall ist der Lizenzumfang im LOB-Zertifikat zu beschreiben.
–
CertificateID: Für den eindeutigen Bezug der LOB-Transaktion zu dem zugrundeliegenden LOB-Zertifikat sorgt die CertificateID bestehend aus –
TrustSourceID: Eindeutiges Identifikationsmerkmal der Bescheinigungsstelle (z. B. eine von ihr für LOB-Transaktionen verwendete Blockchain-Adresse),
–
CertNum: Lfd. Nr. des mit dieser TrustSourceID ausgestellten LOB-Zertifikats.
2. Nachweis der Zuordnung von Lizenzen (LOB-Algorithmus) 30 Um zu ermitteln, ob und wie viele Lizenzen einer Blockchain-Adresse – und damit der natürlichen oder juristischen Person, die über diese Blockchain-Adresse mit Hilfe des zugehörigen privaten Schlüssels verfügen kann – zu einem bestimmten Zeitpunkt zugeordnet sind bzw. waren, ist der Algorithmus aus Abbildung 3 auszuführen. 31 Anzugeben sind –
die Blockchain-Adresse des vorgeblichen Lizenznehmers (Licensee BlockchainAddress),
–
die Identifikation des Lizenzzertifikats (CertificateID), bestehend aus –
TrustSourceID, der Blockchain-Adresse der Bescheinigungs-
–
CertNum, der laufenden, von der Bescheinigungsstelle vergebe-
stelle, und nen Zertifikats-Nr., sowie –
der Zeitpunkt, für welchen die Ermittlung erfolgen soll (Before PointInTime).
148
Softwarelizenzen auf der Blockchain
Abbildung 3: LOB-Algorithmus
Der Algorithmus implementiert eine rekursive Suche durch den Block- 32 chain-Transaktionsgraphen. Dabei werden sämtliche LOB-Transaktionen, die sich auf dasselbe LOB-Zertifikat beziehen, in chronologischer Reihen149
Walter Blocher/Alexander Hoppen/Peter Hoppen
folge betrachtet. Eingehende LOB-Transaktionen erhöhen die verfügbare Lizenzmenge, ausgehende LOB-Transaktionen verringern sie. Eine temporäre Unterdeckung (Leerverkauf) ist nicht zulässig. Ob der Absender einer eingehenden LOB-Transaktion überhaupt berechtigt war, die in der Transaktion angegebene Menge an Lizenzen (NumLicenses) zu übertragen, wird durch den rekursiven Aufruf des LOB-Algorithmus ermittelt. Eine solche Lizenzprüfung kann durch jeden, der Zugriff auf das entsprechende LOB-Zertifikat hat, durchgeführt werden. Hierzu muss er lediglich die Validität des Zertifikats feststellen und den in Abbildung 3 beschriebenen Algorithmus für die zu überprüfende Adresse (Licensee BlockchainAddress) und die ihn interessierende CertificateID ausführen. 33 Die Vertraulichkeit der einer Blockchain-Adresse zugeordneten Lizenzen bleibt insofern gewahrt, als es für einen Außenstehenden ohne Kenntnis des Zertifikats lediglich anhand der LOB-Transaktionen nicht ersichtlich ist, um welche konkreten Lizenztypen es sich handelt und welcher Person bzw. welchem Unternehmen diese Blockchain-Adresse zugeordnet ist. Des Weiteren können die in Blockchains üblichen technischen und organisatorischen Maßnahmen zur Erhöhung des Datenschutzniveaus, wie die Verwendung einer neuen Empfänger-Adresse für jede eingehende Transaktion, angewandt werden. IV. Typische Anwendungsfälle (Use Cases) 34 Nachfolgend werden die Abläufe in den einzelnen Anwendungsfällen (Use Cases) des LOB-Verfahrens vorgestellt. 1. Erstbescheinigung einer Lizenz durch den Softwarehersteller 35 Das Ausstellen einer Lizenz bzw. deren Bescheinigung gegenüber dem Ersterwerber erfolgt in folgenden vier Schritten: Schritt 1: Vorbereitend erstellt der Lizenzgeber ein Schlüsselpaar, dessen öffentlicher Teil (öffentlicher Schlüssel, engl. public key) als Adresse auf der Blockchain dient (im Fall der Bitcoin-Blockchain handelt es sich bei der sog. Bitcoin-Adresse genaugenommen um einen Hash des öffentlichen Schlüssels) und stattet diese mit einem (niedrigen) Betrag25 der auf der je25 Dieser Betrag dient lediglich als Trägerbetrag, um die Lizenz auf der Blockchain mit den für den Transfer von Währungsbeträgen vorgesehenen Mecha-
150
Softwarelizenzen auf der Blockchain
weiligen Blockchain verwendeten virtuellen Währung aus. Dies ist erforderlich, damit abgehende LOB-Transaktionen möglich sind, und erfolgt durch eine normale Transaktion auf der Blockchain. Dabei ist es einerlei, ob der Lizenzgeber –
ein einziges Schlüsselpaar für sämtliche Lizenzierungen,
–
ein Schlüsselpaar je Lizenztyp oder
–
ein Schlüsselpaar für jede einzelne Lizenzierung nutzt.
Alle Varianten sind möglich, mit jeweils spezifischen Vor- und Nachteilen. Schritt 2:
36
Von der in Schritt 1 generierten Blockchain-Adresse als Sender-Adresse wird eine LOB-Transaktion an die vom Lizenznehmer angegebene Blockchain-Adresse als Empfänger-Adresse erstellt.
Abbildung 4: Beispiel für die Bescheinigung von 50 Lizenzen in einer LOB-Transaktion
In der Payload der LOB-Transaktion werden die Kenndaten der Lizenz 37 vermerkt (vgl. Abschnitt 8.1): –
Transaktionsart (Op-Code) „Lizenzausstellung“,
–
Anzahl der mit dem Lizenzzertifikat bestätigten, einzeln weitergebbaren Lizenzen (NumLicenses),
–
Eindeutige Identifizierung des LOB-Zertifikats, bestehend aus nismen zu übertragen. Der Empfänger der Lizenztransaktion kann über den Betrag unabhängig von der Softwarelizenz verfügen, kann ihn also mittels einer normalen Transaktion ohne Verknüpfung mit einem LOB-Zertifikat weitergeben.
151
Walter Blocher/Alexander Hoppen/Peter Hoppen
–
der zur Bescheinigung der Lizenz verwendeten Blockchain-Adresse des Lizenzgebers (TrustSource)26 und
–
der laufenden Zertifikatsnummer des Lizenzgebers (CertNum).
Der Empfänger kann anhand der LOB-Transaktion alleine noch nichts nachweisen. Damit der dadurch bewirkte Blockchain-Eintrag als Nachweis der Innehabung der Lizenz fungieren kann, bedarf es noch des im nächsten Schritt zu erstellenden LOB-Zertifikats, auf welches in der LOB-Transaktion bereits verwiesen wird, das aber zu diesem Zeitpunkt noch nicht existiert. 38 Schritt 3: Nun erzeugt der Softwarehersteller das LOB-Zertifikat und signiert dieses wie in Abschnitt II.4. oben beschrieben. In dem LOB-Zertifikat bestätigt er als Lizenzgeber, mit der in Schritt 2 erstellten LOB-Transaktion Lizenzen eines bestimmten Softwaretyps in Umlauf gebracht zu haben. Er vermerkt darin auch die genaue Spezifikation, d. h. den konkreten Umfang der Lizenz. Außerdem verpflichtet der Lizenzgeber den Lizenznehmer, die Softwarelizenz nicht außerhalb des LOB-Verfahrens zu übertragen, ohne zuvor die LOB-Lizenz wie in Abschnitt 8.4 beschrieben zu terminieren. 39 Schritt 4: Im letzten Schritt wird dem Lizenznehmer das LOB-Zertifikat ausgehändigt oder in Gestalt einer Zertifikatsdatei zugänglich gemacht. Damit ist die Lizenzerteilung nachweisbar dokumentiert. Der Lizenznehmer ist Inhaber des Zertifikats und kann durch die LOB-Transaktion auf der Blockchain nachweisen, dass es ihm ausgehändigt oder zugänglich gemacht wurde. Der Lizenznehmer braucht das Zertifikat nicht geheim zu halten. Bei einem papiergebundenen Zertifikat muss er allerdings in der Lage sein, das Original vorzulegen, um Einwänden gegen Änderungen an dem Zertifikat (Urkundenfälschung) begegnen zu können. Im Fall eines digitalen Zertifikats genügt die Vorlage einer beliebigen Kopie der Zertifikatsdatei, da eine Urkundenfälschung aufgrund der elektronischen Signatur ausgeschlossen ist.
26 Dies ist bei der Erstbescheinigungs-Transaktion die Sender-Adresse der LOBTransaktion und in diesem Fall eigentlich redundant. Sie wird hier nur i.S.e. einheitlichen Datenstruktur der verschiedenen Transaktionsarten (s. die im Folgenden beschriebenen Schritte) aufgenommen.
152
Softwarelizenzen auf der Blockchain
2. Erstbescheinigung einer Lizenz durch eine alternative Bescheinigungsstelle Unterstützt der Softwarehersteller das LOB-Verfahren nicht oder wurde 40 die Softwarelizenz erworben, bevor er LOB unterstützte, kann eine Lizenz auch von einem Dritten (Bescheinigungsstelle) bescheinigt werden, um die LOB-gestützte Fungibilität der Softwarelizenz zu bewirken. Die Bescheinigung erfolgt prinzipiell in den gleichen Schritten wie in 41 Anwendungsfall IV.1. oben beschrieben, jedoch muss sich die Bescheinigungsstelle vor der Erstellung des LOB-Zertifikats in Schritt 3 vergewissern, dass –
der Lizenznehmer ordnungsgemäß (als rechtmäßiger Erwerber) Inhaber der Lizenz wurde und diese zum Zeitpunkt der in Schritt 2 erstellten Transaktion noch nicht weitergegeben hat und
–
die aktuelle Lizenz nicht bereits in einem anderen Lizenzverwaltungssystem (als dem hier vorgestellten LOB-Verfahren) bescheinigt wurde.
Wie die dafür vorzunehmende Prüfung wirksam zu erfolgen hat, soll an 42 dieser Stelle nicht vertieft werden. Die Bescheinigungsstelle kann aber bspw. im Gebrauchtsoftwarehandel etablierte Methoden anwenden: –
Ein Sachverständiger überprüft Belege über den Lizenzerwerb (Vertrag, Lieferscheine etc.) und nimmt Einsicht in die dem Lizenznehmer zugänglichen Auskunftsfunktionen des Lizenzverwaltungssystems des Lizenzgebers. Möglicherweise hat der Sachverständige sogar direkten Zugriff auf Lizenzverwaltungssysteme des Lizenzgebers, weil er in dessen Auftrag regelmäßig Audits durchführt.
–
Der Antragsteller bestätigt durch Vorlage entsprechender Belege (ggf. auch zum Nachweis einer schon aufgebauten Lizenzkette), dass er aktuell Nutzungsberechtigter oder zumindest rechtmäßiger Erwerber der Software und damit Inhaber einer übertragbaren Softwarelizenz ist, und erklärt, dass die Lizenz noch nicht anderweitig in einer Blockchain bescheinigt wurde.
Hat die Bescheinigungsstelle sich der beiden Punkte vergewissert, erstellt sie – genauso wie der Softwarehersteller in Anwendungsfall IV.1. – das LOB-Zertifikat. Mit der in der Lizenzbescheinigung ausgewiesenen Haftungserklärung übernimmt sie gegenüber einem zukünftigen Erwerber der bescheinigten Lizenzen die Haftung für die Richtigkeit der Lizenzbescheinigung.
153
Walter Blocher/Alexander Hoppen/Peter Hoppen
43 Die Vornahme solcher Zertifizierungen bedarf keiner formalen Qualifikation oder Akkreditierung, und es ist zu erwarten, dass sich hierfür spezielle Dienstleister etablieren. Das erforderliche Vertrauen in die Lizenzbescheinigung muss sich aus der mit der Lizenzbescheinigung übernommenen Haftung und dem Ruf der Bescheinigungsstelle ableiten. 3. Übertragung einer Softwarelizenz 44 Für die Übertragung (Veräußerung) einer Softwarelizenz oder – bei teilbaren Lizenzen – einer Teilmenge davon benötigt der aktuelle Lizenzinhaber sowohl das LOB-Zertifikat als auch den privaten Schlüssel jener Blockchain-Adresse, auf der ihm die Lizenz zugeordnet und bescheinigt wurde. 45 Die Übertragung der Lizenz erfolgt in folgenden vier Schritten: Schritt 1: Vorlage des LOB-Zertifikats Der Lizenzinhaber legt das LOB-Zertifikat außerhalb der Blockchain gegenüber dem potentiellen Folgeerwerber offen – bspw. per E-Mail. Es wurde bereits erwähnt, dass der Lizenznehmer das Zertifikat nicht geheim zu halten braucht, da es für sich alleine keine Lizenzinhaberschaft bescheinigt. Der Folgeerwerber kennt zwar nun das Zertifikat, ist aber noch nicht Inhaber einer Lizenz, da die Übertragung bislang nicht mittels einer LOB-Transaktion auf der Blockchain vorgenommen und dokumentiert wurde. Anhand der Angaben in dem LOB-Zertifikat kann der potentielle Folgeerwerber mit dem in Anwendungsfall III.2. oben vorgestellten Algorithmus vorprüfen, ob der Veräußerer tatsächlich über die zu veräußernde Lizenz oder eine entsprechende Anzahl von Lizenzen verfügt (und diese bspw. noch nicht an jemand anderen übertragen hat). 46 Schritt 2: Verpflichtungsgeschäft Die Parteien schließen einen Veräußerungsvertrag (Kauf, Tausch, Schenkung). Darin übernimmt der Folgeerwerber – genauso wie seinerzeit der aktuelle Lizenzinhaber – die Obliegenheit, die Lizenzen nicht außerhalb des LOB-Verfahrens zu veräußern oder die mit dem LOB-Zertifikat ausgestellte Lizenzbescheinigung vor der Veräußerung zu terminieren. Dies ist nämlich die Bedingung dafür, dass die Lizenzbescheinigung seitens der Bescheinigungsstelle auch gegenüber dem Folgeerwerber aufrechterhalten wird.
154
Softwarelizenzen auf der Blockchain
47
Schritt 3: Erfüllung Der Folgeerwerber erfüllt seine vertragliche Verpflichtung, i. d. R. durch Zahlung des Kaufpreises, und gibt dem Veräußerer eine BlockchainAdresse als Empfänger-Adresse bekannt, auf der er die LOB-Transaktion entgegennehmen will. Der Folgeerwerber muss über die BlockchainAdresse frei verfügen können, wozu er das aus privatem und öffentlichem Schlüssel bestehende Schlüsselpaar benötigt. Ggf. muss er dieses zunächst erstellen. Auch hier ist es – in technischer Hinsicht – einerlei, ob der Folgeerwerber ein einziges Schlüsselpaar für alle seine Lizenzierungen, ein Schlüsselpaar für jeden Lizenztyp oder ein Schlüsselpaar für jede einzelne Lizenzierung nutzt.
48
Schritt 4: Dokumentation durch die LOB-Transaktion Der Veräußerer als aktueller Lizenzinhaber erstellt auf der Blockchain eine LOB-Transaktion zur Übertragung von Lizenzen an den Folgeerwerber. In der Payload der Transaktion vermerkt er die Zertifikats-ID, bestehend aus der Blockchain-Adresse der Bescheinigungsstelle und der passenden Zertifikatsnummer. Außerdem gibt er die Anzahl der weitergegebenen Einzellizenzen an. Für die Zeit nach dem Eintrag in der Blockchain kann der Veräußerer eine ihn begünstigende Zuordnung der von ihm übertragenen Lizenz bzw. Teilmenge einer Lizenz nicht mehr nachweisen. a) Beispiel
In Abbildung 5 wird ein Beispiel für den Weiterverkauf von 30 Software- 49 lizenzen (unter Bezugnahme auf die Erstbescheinigung in Abbildung 4) gegeben.
155
Walter Blocher/Alexander Hoppen/Peter Hoppen
Abbildung 5: Beispiel für die Übertragung von 30 Lizenzen in einer LOB-Transaktion
50 Dem Ersterwerber sind danach noch 20 Lizenzen zugeordnet, dem Folgeerwerber 30. Sollte die Sender-Adresse über zu wenige virtuelle Münzen verfügen, um eine Transaktion durchführen zu können (z. B. um anfallende Transaktionsgebühren zu begleichen oder den Minimalbetrag einer Transaktion zu erreichen), kann eine weitere Blockchain-Adresse zusätzliches Guthaben beisteuern. 51 Wenn das LOB-Zertifikat digital ausgestellt und in Schritt 1 offengelegt, d. h. als Datei übertragen wurde, hat der Folgeerwerber bereits alles, um die neuerworbene Lizenz nachweisen zu können. Ist das Lizenzzertifikat dagegen in einer papiergebundenen Urkunde verkörpert, muss diese noch physisch übergeben werden. 52 Der Folgeerwerber ist dann im Besitz des LOB-Zertifikats und Empfänger einer LOB-Transaktion, mit der ihm die in dem Zertifikat bescheinigten Softwarelizenzen (bzw. eine Teilmenge davon) übertragen wurden. Er kann mit dem in Abschnitt III.2. vorgestellten Algorithmus selbst prüfen, ob die LOB-Transaktion von dem Veräußerer wirksam in die Blockchain eingetragen wurde. Außerdem kann er damit einen Lizenznachweis gegenüber Dritten – bspw. bei einem Lizenzaudit – erbringen und
156
Softwarelizenzen auf der Blockchain
sich auf das LOB-Zertifikat und die darin referenzierte Bescheinigungsstelle berufen. b) Konsequenz der Anwendung des LOB-Verfahrens Nach der einmal erfolgten Ausstellung eines LOB-Zertifikats ist die 53 (wiederholte) Weitergabe einer Softwarelizenz also ohne jeden Intermediär möglich, ein double spending in der Blockchain prinzipiell ausgeschlossen. Dadurch wird die Gefahr der Doppel- und Mehrfachnutzung der Software nicht verhindert, aber wegen der eindeutigen und mit geringstem Aufwand überprüfbaren Zuordnung der Lizenz entscheidend vermindert. Der Verwendung von Echtheitszertifikaten oder Produktschlüsseln ist dieses Verfahren überlegen. c) Folgen mangelnder Vertragstreue Folgende Situationen können allerdings auftreten, wenn sich die Partei- 54 en nicht an ihre Vereinbarung halten: –
Ausbleibende Kaufpreiszahlung: Der Folgeerwerber zahlt in Schritt 3 nicht, der Veräußerer führt aber trotzdem – im Vertrauen auf die Zahlung – die LOB-Transaktion durch (Schritt 4).
–
Ausbleibende LOB-Transaktion: Der Folgeerwerber hat in Schritt 3 gezahlt, der Veräußerer stellt aber keine LOB-Transaktion aus, bspw. deswegen, weil er in Schritt 2 Veräußerungsverträge mit mehreren Parteien geschlossen hat. Der Folgeerwerber kann sich dann nicht als rechtmäßiger Erwerber der Lizenz ausweisen, der Verkäufer dagegen für sich den Lizenznachweis weiterhin erbringen.
–
Keine Übergabe des papiergebundenen LOB-Zertifikats (Urkunde) in Schritt 4: Der Folgeerwerber hat in Schritt 3 gezahlt, kann sich aber nicht vollständig als rechtmäßiger Erwerber ausweisen, weil ihm das Original-Zertifikat mit den papiergebundenen Echtheitsmerkmalen fehlt. Der Verkäufer kann sich ebenfalls nicht (mehr) als rechtmäßiger Erwerber ausweisen, weil er die LOB-Transaktion bereits getätigt hat.
Diese Situationen, in denen sich die Parteien nicht vertragstreu verhal- 55 ten, sind ex ante durch den Einsatz eines Smart Contracts vermeidbar oder ex post mit konventionellen rechtlichen Mitteln zu handhaben. Ggf. muss in der Folge die Lizenzinhaberschaft auf gerichtliche Anweisung hin (Urteil) mittels einer entsprechenden Transaktion in der Blockchain korrigiert werden. Hierzu verfügt das LOB-Verfahren über einen 157
Walter Blocher/Alexander Hoppen/Peter Hoppen
Widerrufsmechanismus, mittels dessen die Bescheinigungsstelle eine Berichtigung vornehmen kann (siehe IV.5. unten). 56 Wenn der Ersterwerber auf der Blockchain Übertragungen von mehr Lizenzen einträgt, als er zu diesem Zeitpunkt noch innehat, kompromittiert dies das Verfahren nicht. Lediglich solche LOB-Transaktionen sind valide, bei denen ein ausreichender Bestand an Lizenzen vorliegt, und alle invaliden LOB-Transaktionen werden vom Algorithmus ignoriert. Zur Veranschaulichung diene nachfolgende Abbildung 6.
Abbildung 6: Beispiel für den Versuch einer Kompromittierung durch invalide Lizenzübertragung. Im Ergebnis besitzt Folgeerwerber C keine Lizenzen
57 Die Bescheinigungsstelle bescheinigt dem Ersterwerber in einer LOBTransaktion 50 Lizenzen. Dieser erstellt zeitlich nacheinander drei LOBTransaktionen, mit denen er 30 Lizenzen an den Folgeerwerber A, 20 Lizenzen an den Folgeerwerber B und (vermeintlich) 10 Lizenzen an den Folgeerwerber C überträgt. Die LOB-Transaktionen gegenüber A und B sind wirksam, das Verfahren wird einen Lizenznachweis zugunsten von A und B erbringen. Zugunsten von C werden dagegen keine Lizenzen bestätigt, da der Ersterwerber zum Zeitpunkt der Veranlassung der LOB158
Softwarelizenzen auf der Blockchain
Transaktion an die von C angegebene Empfänger-Adresse über keine Lizenzen mehr verfügt. 4. Terminieren einer Lizenzbescheinigung durch den Lizenznehmer Um eine Lizenzbescheinigung – aus welchen Gründen auch immer – be- 58 wusst aus dem LOB-Verfahren herauszunehmen, kann der aktuelle Lizenzinhaber (rechtmäßige Erwerber) von sich aus eine LOB-Transaktion mit dem Op-Code zur Lizenzterminierung auf der Blockchain eintragen. Die Empfänger-Adresse dieser Transaktion ist dabei belanglos. Grund für eine solche LOB-Transaktion kann bspw. sein, dass die Lizenz 59 „herkömmlich“ oder in einem anderen, zu LOB konkurrierenden Verfahren nachgewiesen werden soll und die dortige Bescheinigungsstelle einen Nachweis fordert, dass der Lizenzinhaber auf seinen Lizenznachweis im LOB-Verfahren verzichtet hat. Das Verfahren ist insofern offen für zukünftige Entwicklungen. Der rechtmäßige Erwerber kann sich frei und ohne Mitwirkung Dritter entscheiden, seinen Lizenznachweis mit anderen Mitteln zu erbringen. 5. Widerruf einer Lizenzbescheinigung durch die Bescheinigungsstelle In der Praxis kann sich, beispielsweise aufgrund gerichtlicher Entschei- 60 dungen, die Notwendigkeit des Widerrufs einer Lizenzbescheinigung ergeben. Dazu kann die Bescheinigungsstelle, die das LOB-Zertifikat ausgestellt hat, unter der in dem Zertifikat benannten Blockchain-Adresse eine LOB-Transaktion mit dem Op-Code zum Zertifikatswiderruf auf der Blockchain eintragen. Die Empfänger-Adresse dieser Transaktion ist dabei wiederum belanglos. Der LOB-Algorithmus aus III.2. oben bestätigt ab dem Zeitpunkt der Widerrufstransaktion unter dem damit widerrufenen Zertifikat keine Lizenzen mehr. Der Widerruf einer Lizenzbescheinigung kann nur durch die Bescheinigungsstelle erfolgen, die die Lizenz ausgestellt. hat. Eine evtl. missbräuchliche Nutzung des Widerrufs-Verfahrens muss mit konventionellen rechtlichen Mitteln gehandhabt werden und kann ggf. die mit der Ausstellung des LOB-Zertifikats übernommene Haftung auslösen. 6. Nachweis der Lizenzkette Der Prüfung einer Lizenzbescheinigung kann mit dem LOB-Verfahren 61 jederzeit durch unabhängige Dritte erbracht werden, die Zugang zu der zugrundeliegenden Blockchain haben und denen das LOB-Zertifikat so159
Walter Blocher/Alexander Hoppen/Peter Hoppen
wie die Blockchain-Adresse des vorgeblichen Lizenzinhabers bekannt gegeben wurde. Der Algorithmus aus Abbildung 3 lässt sich einfach anpassen, so dass er nicht nur die Anzahl der gehaltenen Lizenzen, sondern die gesamte auf der Blockchain dokumentierte Lizenzübertragungskette ausgibt. Damit kann dann der Nachweis darüber erbracht werden, wie die einer Blockchain-Adresse zugeordneten Lizenzbescheinigungen zustande kamen. Eine Beispielausgabe in unformatiertem Rohtext wird in Abbildung 7 gezeigt.
Abbildung 7: Beispielausgabe für den Nachweis der Lizenzkette
7. Zeitlich befristete Lizenzierung (Mietmodell) 62 Es ist ebenfalls auf einfache Weise möglich, das LOB-Verfahren um eine zeitlich befristete Lizenzierung für Mietmodelle zu erweitern. Dies erfordert –
die Aufnahme eines Feldes Expiration-Date in die Payload und
–
die entsprechende Berücksichtigung der hier jeweils eingetragenen Daten im LOB-Algorithmus. LOB-Transaktionen, bei denen das Expiration-Date überschritten ist, werden einfach ignoriert.
V. Automatisierte Lizenzvalidierung durch die Softwareinstallation 63 Bisher wurde beschrieben, wie der Softwarelizenznachweis rein formal über eine Blockchain erbracht werden und dabei ein den rechtlichen Anforderungen genügender Nachweis der Lizenzübertragungskette ohne Mitwirkung des Lizenzgebers bzw. Softwareherstellers oder sonstiger Intermediäre erfolgen kann. 160
Softwarelizenzen auf der Blockchain
Das Verfahren kann weitergeführt werden bis hinein in eine einzelne 64 Softwareinstallation. So könnte vorgesehen werden, dass die Software nicht mehr oder nur noch eingeschränkt arbeitet, wenn für die jeweilige Installation kein Lizenznachweis mehr erbracht werden kann. Dies erfordert, dass der Softwarehersteller den LOB-Algorithmus gemäß Abschnitt III.2. oben in seiner Software implementiert und die Software einen Zugriff auf die zugrundeliegende Blockchain hat. Nachfolgend wird dargestellt, wie dies im Einzelnen erfolgen kann: 1. LOB-Zertifikat im JSON-Format Um die automatisierte Auswertung zu ermöglichen oder doch zu erleich- 65 tern, ist das LOB-Zertifikat in einem maschinenlesbaren Format auszugestalten, bspw. als Textdatei im JSON-Format. 2. Bindung der Lizenz an eine konkrete Softwareinstallation Bei der Installation erzeugt die Software ein eigenes Schlüsselpaar und 66 damit eine eigene Blockchain-Adresse. Der aktuelle Lizenzinhaber muss eine Lizenz (bzw. deren Bescheinigung im LOB-Verfahren) mit einer LOB-Transaktion auf die Adresse der Softwareinstallation übertragen. Außerdem muss er bei der Softwareinstallation an geeigneter Stelle das LOB-Zertifikat in Form eines JSON-Files hinterlegen. Folgendes Missbrauchsszenario ist damit noch nicht abgedeckt: Die 67 komplette Installation der Software wird nach der Aktivierung vollständig kopiert und mehrfach genutzt, was insbesondere in virtuellen Betriebsumgebungen technisch leicht zu bewerkstelligen ist. Um dies auszuschließen, ist die Payload um ein eindeutiges Identifikationsmerkmal der Maschine, auf der die Software zunächst installiert wird und welches sich bei Verwendung einer Kopie verändert (das wäre bspw. die MAC-Adresse der physikalischen Netzwerkschnittstelle oder der UUID (Universally Unique Identifier) der virtuellen Maschine), zu ergänzen. Auf solche Details wurde bei der Darstellung des Verfahrens in diesem Beitrag der besseren Übersichtlichkeit halber verzichtet. 3. Lizenzprüfung durch die installierte Software Die installierte Software kann jederzeit (bspw. beim Start oder in regel- 68 mäßigen Zyklen) prüfen, ob weiterhin eine Lizenzbescheinigung vorliegt, indem sie – –
die Validität des LOB-Zertifikats (JSON-File) feststellt und den LOB-Algorithmus (siehe Abschnitt III.2. oben) mit der bei der Installation generierten Blockchain-Adresse aufruft. 161
Walter Blocher/Alexander Hoppen/Peter Hoppen
Das LOB-Zertifikat wird als valide angesehen, wenn die elektronische Signatur gültig ist, eine Lizenz über die auszuführende Software bescheinigt und das Signaturzertifikat von einer von dem Softwarehersteller akzeptierten Stelle ausgestellt wurde. 69 Beim Aufruf des LOB-Algorithmus werden als Parameter die eigene, bei der Installation generierte Blockchain-Adresse und die aus dem LOB-Zertifikat im JSON-File ersichtliche Blockchain-Adresse des Softwareherstellers oder der sonstigen Bescheinigungsstelle angegeben. Bescheinigt der Algorithmus das Vorhandensein einer LOB-Lizenz auf der bei der Installation generierten Blockchain-Adresse, ist sichergestellt, dass keine weitere Installation auf der Grundlage derselben Lizenz läuft, da mit an Sicherheit grenzender Wahrscheinlichkeit auszuschließen ist, dass zwei Softwareinstallationen die gleiche Blockchain-Adresse generieren. 70 Wenn die Software deinstalliert oder die Lizenz veräußert wird, benötigt der Lizenznehmer den bei der Installation der Software generierten privaten Schlüssel und muss die Lizenz (bzw. deren Bescheinigung) mit einer LOB-Transaktion von der Adresse der Softwareinstallation auf eine andere Adresse – bspw. seine eigene Adresse, über die er die Lizenzbescheinigung erstmals erhalten hat – übertragen. Es könnte aber auch vorgesehen werden, dass die Software auf Anforderung eine LOB-Transaktion der Lizenz auf eine vom Lizenzinhaber anzugebende Empfänger-Adresse vornimmt. Damit liegt keine LOB-Lizenz mehr auf der Blockchain-Adresse der Installation vor, was die Software beim nächsten Lizenzcheck bemerken wird. 71 Wird der oben beschriebene Lizenzcheck auf Basis von LOB implementiert, muss bedacht werden, dass nun ein Lizenztransfer pro einzelner Installation (nicht wie zuvor pro Veräußerung eines Bündels von Lizenzen) der Software erforderlich ist. Bei jeder Installation können die üblichen Blockchain-Transaktionsgebühren anfallen. VI. Zusammenfassung und Ausblick 72 Es wurde gezeigt, wie die Verwendung einer Blockchain auf Grundlage der Distributed Ledger Technologie erstmals die Möglichkeit eröffnet, nach der initialen Vornahme einer Lizenzbescheinigung in der Folge Softwarelizenzen rechtssicher und ohne Einschaltung von Intermediären oder zentralen Lizenzverwaltungs-Systemen zu übertragen. Damit wird ein virulentes Problem des Gebrauchtsoftwarehandels gelöst. Das vorgestellte License on Blockchain-Verfahren (LOB) wird den berechtigten Interessen der Softwareindustrie gerecht, eine Doppel- oder 162
Softwarelizenzen auf der Blockchain
Mehrfachnutzung (double spending) auszuschließen, ohne dadurch mit organisatorischem Overhead belastet zu werden. Mithilfe des LOB-Verfahrens lassen sich sowohl teilbare als auch nicht teilbare Softwarelizenzen abbilden. Minimale Erweiterungen machen es selbst für zeitlich begrenzte Überlassungen (etwa Software-Mietverträge) einsetzbar. Die Anwendung des Verfahrens ist schließlich auch für Verfügungen 73 über andere Immaterialgüter und für Lizenzerteilungen sowie -übertragungen aller Art denkbar. In diesem Fall könnte die Wahl einer Smart Contracts-fähigen (Turing-vollständigen) Blockchain (bspw. Ethereum) sinnvoll sein, um vorprogrammierte Abläufe zu ermöglichen und durch die automatisierte, von der Vertragstreue der Geschäftspartner unabhängige Erfüllung den mit Rechtsstreitigkeiten verbundenen Aufwand zu minimieren. Zur Verwaltung von Softwarelizenzen auf der Blockchain sind Smart Contracts bei diesem Verfahren jedoch nicht erforderlich.
163
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie Thomas Richter* I. Einleitung II. Merkmale der Blockchain 1. Technische Eigenschaften einer Blockchain a) Dezentralität b) Unveränderlichkeit c) Transparenz 2. Arten der Blockchain a) Öffentliche Blockchains b) Private und zugangsbeschränkte Blockchains c) Halbprivate Blockchains und Konsortialblockchains
III. Folgen für die rechtliche Perspektive 1. Blockchain als Querschnittsthema 2. Fallgruppenbezogener Lösungsansatz a) Technologieneutralität b) Anwendungsbezug 3. Adressatenfrage IV. Fazit
Literaturübersicht: Bechtolf/Vogt, Datenschutz in der Blockchain – Eine Frage der Technik, ZD 2018, 66; Blocher, The next big thing: Blockchain – Bitcoin – Smart Contracts – Wie das disruptive Potential der Distributed Ledger Technology (nicht nur) das Recht fordern wird, AnwBl. 2016, 612; Blocher/A. Hoppen/P. Hoppen, Software Lizenzen auf der Blockchain – Ein rechtssicheres Verfahren für das Management von Softwarelizenzen, CR 2017, 337; Böhme/Pesch, Technische Grundlagen und datenschutzrechtliche Fragen der Blockchain-Technologie, DuD 2017, 473; Erbguth/Fasching, Wer ist Verantwortlicher einer Bitcoin-Transaktion?, ZD 2017, 560; Heckelmann, Zulässigkeit und Handhabung von Smart Contracts, NJW 2018, 504; Jünemann/Kast, Rechtsfragen beim Einsatz der Blockchain, KW 2017, 531; Kaulartz, Die Blockchain-Technologie – Hintergründe zur Distributed Ledger Technology und zu Blockchains, CR 2016, 474; Kaulartz/Heckmann, Smart Contracts – Anwendungen der Blockchain-Technologie, CR 2016, 618; Kreiterling/Mögelin, Blockchain – ein Thema für die Finanzaufsicht?, KW 2017, 528; Linardatos, Smart Contracts – Einige klarstellende Bemerkungen, K&R 2018, 85; Martini/Weinzierl, Die Blockchain-Technologie und das Recht auf Vergessenwerden, NVwZ 2017, 1251; Omlor, Blockchain-basierte Zahlungsmittel, ZRP 2018, 85; Schlund/Pongratz, Distributed-Ledger-Technologie und Kryptowährungen – eine rechtliche Betrachtung, DStR 2018, 598; Schrey/Thalhofer, Rechtliche Aspekte der Blockchain, NJW 2017, 1431; Simmchen, Blockchain (R)Evolution – *
Der Autor ist Syndikusrechtsanwalt und in der Rechtsabteilung der Deutsche Bank AG in Frankfurt am Main tätig. Dieser Beitrag gibt seine persönliche Meinung wieder.
165
Thomas Richter Verwendungsmöglichkeiten und Risiken, MMR 2017, 162; Spindler, Gesellschaftsrecht und Digitalisierung, ZGR 2018, 17; D. Tapscott/A. Tapscott, Blockchain Revolution – How the Technology behind Bitcoin and Other Cryptocurrencies is Changing the World, 2016; Thiele, Die Blockchain-Technologie und ihre Anwendung in der Finanzwirtschaft, WPg 2017, 324; Wilsch, Die BlockchainTechnologie aus der Sicht des deutschen Grundbuchrechts, DNotZ 2017, 761.
I. Einleitung 1 Der Blockchain-Technologie1 wird enormes, zuweilen sogar revolutionäres2, Potential zugeschrieben. Die Blockchain soll für den digitalen Transfer von Werten das werden, was das Internet für den Transfer von Informationen bereits ist – daher ist vom „Internet der Werte“ oder „the next internet“ die Rede. Gerade im Umfeld der Finanzindustrie wird eine Vielzahl von möglichen Anwendungsbereichen in der inkrementellen Optimierung bestehender Prozesse oder der Entwicklung neuer Geschäftsmodelle gesehen, z. B. im Kapitalmarktgeschäft oder im Bereich der Handelsfinanzierung. 2 Die besonderen Merkmale dieser Technologie werfen indessen eine Vielzahl von Fragen in ganz unterschiedlichen Rechtsbereichen auf, so dass aus juristischer Sicht ohne weiteres von einem „Querschnittsthema“ gesprochen werden kann. Dies ist dem im IT-Recht tätigen Juristen alles andere als fremd, und doch ist die Bandbreite der betroffenen Themengebiete bemerkenswert. Eine Beantwortung der sich stellenden – zahlreichen – Rechtsfragen kann nur mit einem interdisziplinären Ansatz gelingen. Das gilt gleichfalls für den Austausch mit der Informatik3, weshalb dieser Beitrag mit einer kurzen Darstellung der technischen Merkmale4
1 Dieser Beitrag ist eine erweiterte Ausarbeitung eines Vortrags, den der Verfasser auf dem 24. Drei-Länder-Treffen der Deutsche Gesellschaft für Recht und Informatik e.V. am 30.6.2017 in Innsbruck gehalten hat. 2 Siehe z.B. das Interview „How blockchains could change the world“ mit Don Tapscott unter https://www.mckinsey.com/industries/high-tech/our-insights/ how-blockchains-could-change-the-world (zuletzt abgerufen am 3.6.2018). 3 Als besonders gewinnbringend hat der Verfasser dann auch diejenigen Seminare und Tagungen zum Thema Blockchain erlebt, bei denen sich Informatiker und Juristen der Themen gemeinsam gewidmet haben. Darin wird ein Schlüssel zur angemessenen Lösung der aufgeworfenen Fragen gesehen, weil sonst das Risiko groß ist, von falschen oder unvollständigen Sachverhalten auszugehen. 4 Zu einer ausführlichen Beschreibung der Designprinzipien siehe Tapscott/Tapscott, Blockchain Revolution, S. 150-194; kürzere Darstellungen des technischen Hintergrunds z.B. bei Kaulartz, CR 2016, 474-477; Böhme/Pesch, DuD 2017, 473-477.
166
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie
beginnt, die für die sich anschließende rechtliche Perspektive wesentliche Bedeutung haben. Vorab ist festzuhalten, dass Blockchain nicht mit Bitcoin gleichzusetzen 3 ist – in der aktuellen Diskussion mangelt es zuweilen an einer klaren begrifflichen und sachlichen Abgrenzung. Bei der Blockchain handelt es sich um die dem Bitcoin (und einer Vielzahl anderer sogenannter „Kryptowährungen“) zugrunde liegende Technologie. Diese kann in allgemeiner Form für eine Vielzahl von Anwendungsfällen genutzt werden, die mit Bitcoin nichts gemein haben außer den Eigenschaften, die der BlockchainTechnologie als solche inhärent sind. Anschaulich wurde die BlockchainTechnologie als das Betriebssystem bezeichnet, auf dem Kryptowährungen laufen5. Für den Rechtsanwender bleibt ausdrücklich festzuhalten, dass sich die im Zusammenhang mit Bitcoin ergebenden Rechtsfragen nicht mit denen der Blockchain-Technologie an sich decken (müssen)6. II. Merkmale der Blockchain 1. Technische Eigenschaften einer Blockchain Eine Blockchain ist eine Datenbank, die über ein direktes Netzwerk von 4 vielen einzelnen teilnehmenden Rechnern (Nodes) verteilt ist. Diese Rechner sind alle gleichberechtigt (Peer-to-Peer-Netzwerk) und auf jedem Rechner wird eine Kopie der vollständigen Datenbank gespeichert. Die Datenbank wird sukzessive durch das Aneinanderreihen von Datensatz an Datensatz erweitert, die zu Blöcken (Block-) zusammengefasst werden, so dass eine Kette (-chain) dieser Datensätze entsteht. Die einzelnen Blöcke bauen aufeinander auf und werden durch einen Zeichenschlüssel („Hash“) untrennbar miteinander „verkettet“. Dadurch wird sichergestellt, dass im Rahmen einer neuen Transaktion ein Datensatz nur dann hinzugefügt werden kann, wenn der Datensatz zu allen vorhergehenden Transaktionen in der Kette passt (weil die vorhergehenden Hashes jeweils ineinandergreifen und nach hinten verweisen). Eine neue Transaktion wird nur dann genehmigt, wenn sie jeweils vom gesamten Netzwerk (jedenfalls aber der Mehrheit) der teilnehmenden Rechner nach dem Lösen einer kryptographischen Rechenaufgabe (Proof of Work) als richtig bestätigt wird (Konsensprinzip). In der Summe entsteht
5 Vgl. Schlund/Pongratz, DStR 2018, 598. 6 Zu aktuellen Rechtsfragen von Kryptowährungen insbesondere aus aufsichtsund steuerrechtlicher Sicht siehe Schlund/Pongratz, DStR 2018, 598 ff.
167
Thomas Richter
dadurch ein sich fortschreibendes sicheres Verzeichnis aller bisherigen Transaktionen (Ledger7). 5 Die Vorteile dieser Technologie liegen auf der Hand: Durch die dezentrale Speicherung gibt es kein ernstzunehmendes Ausfallrisiko, weil der Ausfall eines oder selbst vieler Rechner nicht ins Gewicht fallen würde. Gleichzeitig schützt das Konsensprinzip vor einzelnen Manipulationen, weil neue Transaktionen von allen Rechnern im Netzwerk überprüft werden, so dass für eine Manipulation eine Überwindung von jedenfalls mehr als der Hälfte der gesamten Rechenleistung dieser Rechner erforderlich wäre8. Vorteilhaft ist weiterhin, dass die Datensätze, die einer Transaktion zugrunde liegen, jede Art von digital abbildbaren Informationen enthalten können. Dadurch eröffnet sich der Blockchain-Technologie ein sehr breites Spektrum an Einsatzmöglichkeiten. Sie kann beispielsweise auch dazu verwendet werden, sog. Smart Contracts ablaufen zu lassen9. 6 Eine Reihe der beschriebenen Eigenschaften der Blockchain unterscheidet sie grundlegend von anderen Datenbanktechnologien und sind daher wesensbildend. Für die rechtliche Bewertung ist es wichtig, festzuhalten, dass diese Merkmale der Blockchain nicht als frei konfigurierbare Eigenschaften zugeordnet sind, sondern für ihren Nutzen unverzichtbar vorhanden sein müssen. Diese können also nicht nach Belieben entfernt oder hinzugefügt werden, sondern müssen für die rechtliche Bewertung als gegeben vorausgesetzt werden. Von besonderer Bedeutung sind dabei die Anforderungen an Dezentralität, die Unveränderlichkeit und die Transparenz. a) Dezentralität 7 In ihrer Grundform ist eine Blockchain vollkommen dezentral, das heißt ohne die Zwischenschaltung weiterer Stellen gesamthaft verteilt auf die teilnehmenden Rechner. Jeder teilnehmende Rechner hat dabei die gleichen Rechte, ohne dass der ursprüngliche Programmierer Rechte zurückhalten würde. Bildlich gesprochen wird eine öffentliche Blockchain vom
7 Teilweise abgrenzend (dann meist im allgemeineren Sinn) und teilweise synonym wird auch der Begriff Distributed Ledger Technology (DLT) verwendet. In diesem Beitrag wird einheitlich der Begriff Blockchain verwendet. 8 Sog. „51 Percent Attack“; vgl. Bechtolf/Vogt, ZD 2018, 66, 70. 9 Zur rechtlichen Einordnung von Smart Contracts, die in den wenigsten Fällen Verträge im Rechtssinne sein dürften, vgl. Kaulartz/Heckmann, CR 2016, 618 ff. und Linardatos, K&R 2018, 85 ff.; zur spannenden Frage, ob Smart Contracts als Rechtsberatung zu qualifizieren sind, Heckelmann, NJW 2018, 504, 509 f.
168
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie
Programmierer „in die Freiheit entlassen“ und entzieht sich dann selbst seiner eigenen Kontrolle. Spätere Möglichkeiten der Einflussnahme bestehen nicht. Einer vertrauensbildenden zentralen Stelle bedarf es nicht, da durch den oben beschriebenen Konsensmechanismus ein Vertrauen in die Richtigkeit der Blockchain allein durch technologische Mittel geschaffen wird. Festzuhalten bleibt, dass es damit keinen einzelnen Adressaten oder praktisch identifizierbaren Adressatenkreis gibt, der Kontrolle über diese Blockchain ausüben könnte. b) Unveränderlichkeit Durch die Verkettung der einzelnen Datenblöcke und die Speicherung 8 der Blockchain auf allen teilnehmenden Rechnern ist es praktisch nicht möglich, die Blockchain (also alle bereits verketteten Datensätze) nachträglich zu ändern (Immutability). Es gibt zwar technische Möglichkeiten, in eine Blockchain einzugreifen. Das sog. „Forking“ zielt darauf ab, durch das Senden einer neuen Programmversion an alle Teilnehmer im Rahmen einer Transaktion einen neuen „Zweig“ der Blockchain mit dem Ziel zu erschaffen, die bisherige Kette ungültig zu machen oder zumindest abzuändern bzw. einen Transaktionszweig „abzuspalten“. Die sog. „51-Percent-Attack“ beschreibt einen Angriff auf die Block- 9 chain, bei dem durch die Übernahme von mehr als der Hälfte der Rechenleistung aller Teilnehmer durch einen Angreifer das Konsensprinzip überwunden werden soll. In beiden Fällen ist aber zu beachten, dass die bisherige Blockchain zwar „entwertet“ würde, aber trotzdem bestehen bliebe10. Es bleibt die Möglichkeit, eine Blockchain technisch von Anfang an mit 10 der Möglichkeit zu versehen, bestimmten Teilnehmern nachträglich Änderungen zu erlauben11. Zwar stellt dies einen Eingriff in eines der Grundprinzipien der Blockchain-Technologie dar, mag aber zur Überwindung ansonsten unlösbarer Rechtsfragen, die auf die Unveränderlichkeit zurückgehen, eine Möglichkeit sein. Notwendig wäre dann allerdings eine sehr genaue Differenzierung der Eingriffsmöglichkeiten und-rechte, da hiermit auch wiederum das Risiko eines Oligopols dieser privilegierten Teilnehmer besteht und Vertrauen erfordert.
10 Vgl. Bechtolf/Vogt, ZD 2018, 66, 69-71. 11 Vgl. Bechtolf/Vogt, ZD 2018, 66, 70 f.
169
Thomas Richter
c) Transparenz 11 Jeder Teilnehmer des Netzwerks hat eine vollständige Kopie der Blockchain auf seinem Rechner. Die Funktionsweise der Blockchain setzt zudem voraus, dass jeder Teilnehmer dafür auch Leserechte hat. Daraus folgt, dass alle Transaktionen für jeden Teilnehmer einsehbar und damit (faktisch) öffentlich sind. Zwar sind in dem Datensatz an sich keine Klardaten hinterlegt, weil eine Trennung zwischen Identifikations- und Verifikationsebene einerseits und Transaktionsebene andererseits erfolgt. Ein einzelner Transaktionsdatensatz enthält nur bestimmte anonymisierte Adressen der Parteien, die vom System auf Netzwerkebene zur Durchführung der Transaktion verifiziert werden12. Es ist allerdings technisch nicht ausgeschlossen, diese Daten zu entschlüsseln und z. B. im datenschutzrechtlichen Sinn einen Personenbezug herzustellen13. Daher ist für die juristische Betrachtung von einer Einsehbarkeit dieser Daten durch die Teilnehmer auszugehen. 2. Arten der Blockchain 12 Jedoch lässt sich die Blockchain-Technologie in verschiedenen Formen zur Anwendung bringen, in denen die vorstehend aufgezählten Merkmale in unterschiedlicher Ausprägung zum Tragen kommen. Auch wenn es noch kein allgemein anerkanntes Schema gibt, sind in der Praxis bislang die folgenden Modelle zu beobachten14: a) Öffentliche Blockchains 13 An einem öffentlichen Blockchain-Netzwerk (Public Blockchain) kann jeder teilnehmen, ohne dass es dafür einer Zugangsberechtigung bedarf (permissionless)15. Es genügt, die technischen Voraussetzungen für die Teilnahme zu erfüllen16. Da ab Inbetriebnahme weder der Programmierer noch die Teilnehmer Kontrolle über den technischen Ablauf ausüben können, verfügen sie nicht über die Möglichkeit, eine Zulassungskon-
12 Vgl. Tapscott/Tapscott, Blockchain Revolution, S. 177. 13 Siehe Martini/Weinzierl, NVwZ 2017, 1251, 1252 f. 14 Die Einteilung und Unterscheidung ist in der Blockchain-Community nicht einheitlich. Die hier getroffene Einteilung folgt in weiten Teilen Buterin, https://blog.ethereum.org/2015/08/07/on-public-and-private-blockchains (zuletzt abgerufen am 3.6.2018). 15 Das prominenteste Beispiel für eine öffentliche Blockchain ist das BitcoinNetzwerk. 16 So ist beim Bitcoin-Netzwerk einzige Teilnahmevoraussetzung die Nutzung einer entsprechenden Software (Bitcoin-Client).
170
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie
trolle vorzunehmen. Das bedeutet jedoch nicht, dass bei der Programmierung einer öffentlichen Blockchain keine weiteren Regeln festgelegt werden könnten. Diese müssen jedoch später automatisiert überprüft werden können und sind nicht mehr änderbar17. In einer öffentlichen Blockchain kann jeder Teilnehmer gleichberechtigt 14 die Netzwerk-Software herunterladen und hat dann Lese- und Schreibzugriff, so dass er Transaktionen senden und sehen kann. Alle Transaktionen sind also für alle Teilnehmer transparent. Es besteht keine Möglichkeit, verschiedenen Teilnehmern unterschiedliche Rechte einzuräumen. Die Teilnehmer selbst sind hierbei anonym oder jedenfalls pseudonymisiert. Öffentliche Blockchains stoßen in ihrer Skalierbarkeit bei der aktuell 15 genutzten Technologie an gewisse Grenzen, da bei der Verteilung der Datenbank über eine sehr große Zahl von Rechnern ein beträchtlicher Rechenaufwand und damit auch Energiebedarf für die Durchführung der Transaktionen notwendig ist und die zu verarbeitende Größe der Daten in immer größeren Netzwerken steigt. b) Private und zugangsbeschränkte Blockchains Bei einer privaten Blockchain behält die programmierende Partei eine 16 gewisse Kontrolle über Teilnehmer, den Konsensmechanismus und die Datenbank zurück. Sie kann den Zugang zur Blockchain dann an eine Einladung zur Teilnahme, ihre Zustimmung zur Zulassung und/oder die Erfüllung bestimmter festgelegter Kriterien knüpfen (z. B. Offenlegung der Identität der Teilnehmer). Weiterhin kann bestimmt werden, wer Transaktionen ausführen und sehen darf (diese Rechte kann sie auch vollständig zurückhalten). Findet eine solche Kontrolle statt, dann ist die Blockchain zugangsbeschränkt. Denkbar ist auch, dass die Entscheidung über die Zulassung einer Mehrheit der Teilnehmer oder der Entscheidung durch eine dritte Partei überlassen wird. Zwar wäre es auch möglich, eine private Blockchain vollkommen zugangsfrei auszugestalten, womit allerdings das Motiv für die private Ausgestaltung fehlen würde (Zurückhalten von Kontrolle).
17 Eine entsprechende Beschränkung kann z.B. beim Bitcoin-Netzwerk darin gesehen werden, dass die maximale Anzahl an Bitcoins ca. 21 Millionen beträgt. Wird diese Zahl erreicht, können keine neuen Bitcoins mehr generiert werden.
171
Thomas Richter
c) Halbprivate Blockchains und Konsortialblockchains 17 Wenn die Blockchain zwar von einer einzelnen Partei aufgesetzt und betrieben wird, die Zulassung aber nicht selbst unter ihrer Kontrolle hält, sondern von der Erfüllung bestimmter von ihr festgelegter Regeln abhängig macht, spricht man von einer halbprivaten Blockchain. 18 Schließlich gibt es sog. Konsortialblockchains (Federated Blockchains), bei denen sich mehrere Parteien (aber eine begrenzte Anzahl) zum Betrieb einer Blockchain unter ihrer Kontrolle zusammenschließen. Je nach Ausgestaltung können dann entweder das gesamte Konsortium oder die einzelnen Konsortialparteien über die Zulassung von Teilnehmern sowie deren Recht, Transaktionen zu sehen und vorzunehmen, entscheiden. Auch der Konsensmechanismus für die Validierung von Transaktionen kann zwischen diesen Parteien festgelegt werden. III. Folgen für die rechtliche Perspektive 19 Aus den technischen Eigenschaften bleibt für die rechtliche Perspektive also festzuhalten, dass eine Blockchain dezentral, unveränderlich und transparent ist, während sie in der Form einer öffentlichen Blockchain (dann gelten die vorstehenden Eigenschaften uneingeschränkt) oder einer privaten bzw. halbprivaten Blockchain/Konsortialblockchain auftreten kann (dann gelten die vorstehenden Eigenschaften eingeschränkt). 20 Die Blockchain lässt sich nicht generisch einem bestimmten Rechtsbereich zuordnen. Ein Fixpunkt für die Blockchain als technologischem Rahmenwerk18 ist das IT-Recht. Der von dort ausgehende Blickwinkel bestimmt sich ganz erheblich danach, für welchen konkreten Anwendungsfall die Blockchain-Technologie eingesetzt wird (Fallgruppenbildung). Zentrale Frage quer durch alle Rechtsgebiete ist die des Regelungs- bzw. Normadressaten. 1. Blockchain als Querschnittsthema 21 Die Blockchain-Technologie als solche wirft mit ihren oben dargestellten Wesensmerkmalen Rechtsfragen aus vielen verschiedenen Gebieten des Zivilrechts (z. B. Haftungs- und Zwangsvollstreckungsfragen, IT-vertragsrechtliche Fragen), des Strafrechts (z. B. im Bereich der Datendelikte und der Geldwäsche) und des öffentlichen Rechts (z. B. im Steuer-, Aufsichts- und Datenschutzrecht) auf. Dies zeigt schon die Bandbreite der
18 Vgl. Kreiterling/Mögelin, KW 2017, 528.
172
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie
in der Literatur aktuell diskutierten (Einzel-)Themen. Für Unternehmen besonders relevant sind Fragen rund um die Verwendung der Blockchain im gesellschaftsrechtlichen Bereich19. Über die allgemeingesetzlichen Anforderungen hinaus können sich – an- 22 knüpfend an den Verwender oder den Verwendungszweck – besondere weitere Anforderungen ergeben. Dies dürfte besonders für Unternehmen in stark regulierten Industrien gelten. Für Finanzinstitute ergeben sich vor allem aufsichtsrechtliche Anforderungen. Dazu zählen beispielsweise die Vorgaben des Kreditwesengesetzes20 und der Mindestanforderungen an das Risikomanagement (MaRisk)21, die auch bei Verwendung der Blockchain-Technologie gewahrt bleiben müssen. Ein besonderer Schwerpunkt liegt dabei auf Fragen der IT-Sicherheit. So muss die Blockchain als IT-System beispielsweise bestimmte technisch-organisatorische Merkmale erfüllen, um die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der gespeicherten Daten sicherzustellen22. Von wichtiger Bedeutung sind weiterhin geldwäscherechtliche Vorgaben an Legitimationsprüfungen (Know Your Customer und Anti-Money Laundering)23. Schließlich sind auch gesetzliche Archivierungs- und Nachweispflichten einzuhalten. Diese Aufzählung ließe sich noch weiter fortsetzen. Zusätzliche Anforderungen können sich zudem daraus ergeben, wie die 23 Blockchain-Lösung spezifisch gestaltet ist. Meist werden Blockchain-Lösungen von anwendenden Unternehmen nicht selbst entwickelt, sondern auf Basis von Standardprodukten großer Softwareanbieter aufgebaut oder vollständig als Dienstleistung bezogen (Blockchain-as-a-Service). Diese Merkmale können selbst wiederum rechtliche Anforderungen nach sich ziehen. Wenn der Betrieb als Cloud-Lösung ausgestaltet ist, gelten etwa für die Finanzindustrie die Guidelines der European Banking Authority zum Cloud-Computing24 mit entsprechenden Auslagerungsanforderun-
19 Dazu z.B. Spindler, ZGR 2018, 17, 44-52. 20 Insbesondere in Bezug auf die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation und der Anforderungen an Auslagerungen; §§ 25 a) und b) KWG. 21 Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk v. 27.10.2017 der Bundesanstalt für Finanzdienstleistungsaufsicht. 22 MaRisk AT 7.1; vgl. Kreiterling/Mögelin, KW 2017, 528, 530. 23 Vgl. Kreiterling/Mögelin, KW 2017, 528, 529. 24 European Banking Authority, Recommendations on outsourcing to cloud service providers v. 20.12.2017 (EBA/REC/2017/03).
173
Thomas Richter
gen, weil diese auf jede Art von in der Cloud betriebener Technologie Anwendung finden. 24 Schließlich sind auch unternehmensinterne Anforderungen zu beachten (Policies, Unternehmensrichtlinien), die gesetzliche Anforderungen umsetzen oder durch unternehmenseigene Standards ergänzen. 2. Fallgruppenbezogener Lösungsansatz 25 Angesichts der Bandbreite der angesprochenen Rechtsgebiete und -themen könnte man den Eindruck gewinnen, dass die Blockchain-Technologie Rechtswissenschaft und Rechtsberater vor fast unlösbare Aufgaben stellt. Zu Recht wird darauf hingewiesen, dass die vielfältigen Einsatzmöglichkeiten der Blockchain eine einheitliche rechtliche Würdigung konterkarieren25. Dies darf allerdings nicht dazu führen, dass in Zukunft kein systematischer Einordnungsversuch unternommen wird. Es ist zwar richtig, dass die Wesensmerkmale der Blockchain ganz bestimmte Rechtsfragen aufwerfen, die in jedem Fall zu beantworten sind. Im Übrigen gilt jedoch, dass sich die Beurteilung je nach Einsatzgebiet ändert. Zieht man die Analogie zu einem „klassischen“ Datenbanksystem, dann zeigt sich, dass sich dessen rechtliche Beurteilung ganz entscheidend nach seinem Einsatzgebiet bestimmt. Zweckmäßig ist also eine Fallgruppenbildung, die (jedenfalls für das deutsche Recht) für finanzaufsichtsrechtliche Zwecke vom Grundsatz der Technologieneutralität auszugehen hat. a) Technologieneutralität 26 Mithin gilt für die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im aufsichtsrechtlichen Bereich für die Blockchain-Technologie: „Nicht die Technik ist somit für regulatorische Fragen entscheidend, sondern der Anwendungsfall.“26 Aus regulatorischer Sicht werden Geschäftsfälle erfasst, wobei die dahinterstehende Technologie grundsätzlich unerheblich ist27. Daher sind einerseits die bestehenden Regelungen uneingeschränkt anzuwenden. Andererseits bedeutet dies auch, dass der Einsatz der Blockchain-Technologie an sich (d. h. ohne dass durch ihre Merkmale weitere Tatbestandvoraussetzungen verwirklicht würden)
25 Simmchen, MMR 2017, 162, 165. 26 https://www.bafin.de/DE/Aufsicht/FinTech/Blockchain/blockchain_node. html, unter der Überschrift „Regulatorische, aufsichtliche und juristische Risiken“ (zuletzt abgerufen am 3.6.2018). 27 Vgl. Thiele, WPg 2017, 324, 326.
174
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie
keine besonderen weiteren Voraussetzungen mit sich bringt und z. B. auch nicht an sich erlaubnispflichtig ist28. Insofern steht auch nicht zu erwarten, dass für die Blockchain-Techno- 27 logie Spezialgesetze geschaffen werden oder sie in größerem Maße ausdrückliche Erwähnung in Gesetzestexten finden dürfte. Davon gibt es jedoch Ausnahmen. Genannt werden im finanzaufsichtsrechtlichen Bereich beispielsweise Vorschriften zum operativen Risiko, die bei der Definition von Technologiestandards berücksichtigen müssen, welches operative Risiko die Technologie an sich trägt29. Eine weitere Ausnahme könnten (mit einem internationalen Blickwinkel) in Zukunft solche Gesetze bilden, bei denen die Blockchain durch ihre ausdrückliche Adressierung besonders hervorgehoben werden soll. Dahinter dürfte dann meist der gesetzgeberische Wille nach Förderung der Technologie stehen. So hat z. B. der US-amerikanische Bundesstaat Delaware kürzlich im Rahmen der „Delaware Blockchain Initiative“30 gesellschaftsrechtliche Vorschriften dahingehend neu gefasst, dass die Unternehmensbuchführung auf Basis der Blockchain ermöglicht wird (allerdings ohne die Blockchain im Gesetzestext selbst ausdrücklich zu erwähnen; dies ist der synoptischen Gesetzesbegründung zu entnehmen)31. Frankreich hat mit dem Ziel der Innovationsförderung einen gesetzlichen Rahmen für den Handel von ungelisteten Wertpapieren auf Basis der Blockchain-Technologie geschaffen32. Abseits einer solchen „Leuchtturmgesetzgebung“ wird es jedoch bei der Anwendung allgemeiner Gesetze bleiben. b) Anwendungsbezug Daher ist es für die rechtliche Einordnung umso wichtiger, die Block- 28 chain im Zusammenhang ihres spezifischen Einsatzbereichs im jeweiligen Fall zu betrachten. Entscheidend sind mithin der Einsatzzweck und
28 Vgl. Kreiterling/Mögelin, KW 2017, 528, 529. 29 Vgl. Thiele, WPg 2017, 324, 326. 30 Vgl. https://corpgov.law.harvard.edu/2017/03/16/delaware-blockchain-initiativetransforming-the-foundational-infrastructure-of-corporate-finance (zuletzt abgerufen am 3.6.2018). 31 Act To Amend Title 8 Of The Delaware Code Relating To The General Corporation Law v. 5.5.2017, Synopsis, Section 1; abrufbar unter https://legis.delaware.gov/BillDetail/25730 (zuletzt abgerufen am 3.6.2018). 32 Ordonnance n° 2017-1674 du 8 décembre 2017 relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers; abrufbar unter https://www.legifrance.gouv. fr/affichTexte.do?cidTexte=JORFTEXT000036171908&categorieLien=id (zuletzt abgerufen am 3.6.2018).
175
Thomas Richter
die Teilnehmer, d. h. es ist der Anwendungszusammenhang33 herzustellen. Für eine solche Systematisierung bietet sich aus tatsächlicher (Stichwort: Use Cases) und aus rechtlicher Sicht in Zukunft eine einheitliche Fallgruppenbildung an, die eine entsprechende Einordnung erlaubt. Als gutes Beispiel mag dabei der fast schon idealtypische Einsatz für Grundbuchzwecke dienen34. Der produktive Einsatz von Blockchain-Lösungen und die Nutzung ihrer Vorteile kann so ermöglicht werden, ohne an den Hürden zu scheitern. Im Ergebnis erfolgt damit eine Betrachtung der spezifischen Regelungsaspekte der jeweiligen Blockchain-Lösung vor dem Hintergrund ihres konkreten Einsatzes. Zu fragen ist also inkrementell nach dem „Delta“ zu einer herkömmlichen Technologie und wie dieses rechtlich bewältigt werden kann. Technisch sollten Blockchain-Lösungen soweit wie möglich so gestaltet werden, dass sich die im Moment unbeantworteten Fragen neutralisieren (d. h. keiner anderen Bewertung unterliegen würden, wenn sie durch eine andere Technologie ausgetauscht würden) und sich die Blockchain-spezifischen Rechtsfragen auf solche reduzieren, die aktuell (und auch mit dem notwendigen Maß an Sicherheit) beantwortet werden können. Beachtet werden sollte zudem, dass sich durch die Möglichkeiten zur Gestaltung auch die Chance ergibt, Rechtsfragen bereits in der Programmierung der Blockchain mit einzubeziehen35. Schließlich sei gesagt, dass auch stark rechtlich geprägte Sachverhalte selbst für den Einsatz von Blockchain-Lösungen geeignet sein mögen, wie z. B. das Management von IP-Rechten (Softwarelizenzen)36. 3. Adressatenfrage 29 Es gibt allerdings ein Merkmal der Blockchain, das auch auf genereller Ebene besondere Beachtung verdient: die Dezentralität. Es stellt sich die Frage, wer gesetzlicher Normadressat sein soll, also z. B. „Verantwortlicher“ im Datenschutzrecht37, verantwortliches Kreditinstitut im finanzaufsichtsrechtlichen Sinn usw. Es liegt im Wesen einer öffentlichen Blockchain, dass es mangels einer zentralen Stelle mit der Mög33 Kaulartz, CR 2016, 474, 477. 34 Zu den sich im Rahmen eines Grundbucheinsatzes stellenden Rechtsfragen ausführlich Wilsch, DNotZ 2017, 761-787. 35 Die Chancen im Bereich des Datenschutzes zur Umsetzung des durch die DS-GVO geforderten Grundsatzes nach „Privacy-by-Design“ betonen etwa Bechtolf/Vogt, ZD 2018, 66, 71; siehe zu den datenschutzrechtlichen Aspekten mit konkreten technischen Vorschlägen auch Martini/Weinzierl, NVwZ 2017, 1251 und Böhme/Pesch, DuD 2017, 473, 477-481. 36 Siehe Blocher/A. Hoppen/P. Hoppen, CR 2017, 337 ff. 37 Vgl. Erbguth/Fasching, ZD 2017, 560, 565 für die Beurteilung des Verantwortlichen im Datenschutzrecht am Beispiel der Bitcoin-Blockchain.
176
Blockchain – Rechtliche Aspekte aus Sicht der Finanzindustrie
lichkeit der (jedenfalls bestimmenden) Einflussnahme aus rechtstechnischer Sicht keinen einzelnen Regelungsadressaten gibt (wie dies z. B. bei einer Gesellschaft der Fall wäre, die eine herkömmliche Datenbank betreibt). Ein Anknüpfen an den Programmierer würde ins Leere laufen, da ihm mangels Kontrolle die Erfüllung rechtlicher Pflichten faktisch unmöglich wäre. Ein Anknüpfen an die einzelnen Teilnehmer wäre ebenso wenig geeignet für eine übergeordnete Lösung, da sie praktisch nicht identifizierbar sind – und selbst wenn sie dies wären, kaum greifbar sein dürften, da oft über die ganze Welt verteilt. Auch wäre dies nicht sachgerecht, weil sie aufgrund ihrer Stellung (sie haben nur Kontrolle darüber, ob sie teilnehmen und eine Transaktion ausführen) allenfalls für die eigenen Transaktionen Verantwortung übernehmen könnten, aber nicht für die Blockchain insgesamt. Alle Teilnehmer in ihrer Gesamtheit scheiden als Adressaten schon deshalb aus, weil sie – abseits des Konsensprinzips – unkoordiniert handeln. Wichtig ist allerdings zu betonen, dass das Vorstehende nicht bedeutet, dass es nicht individuelle Pflichten der Teilnehmer gibt. Für die Blockchain als solche nützt dies jedoch nichts. Wo ansonsten aufsichtsrechtliche Vorgaben einen Einsatz der Block- 30 chain-Technologie verhindern würden (insbesondere in stark regulierten Industrien wie der Finanzindustrie), kann dieses Dilemma durch den Einsatz privater oder halbprivater Blockchains/Konsortialblockchains überwunden werden. Dann kann durch eine entsprechende Ausgestaltung sichergestellt werden, dass alle Anforderungen dauerhaft erfüllt werden können, z. B. durch eine entsprechende Ausgestaltung der Zulassung und der Zurückbehaltung notwendiger Eingriffsrechte. IV. Fazit Die Blockchain-Technologie steht noch am Anfang ihrer Entwicklung. 31 Die Beantwortung der aufgeworfenen grundsätzlichen und übergeordneten rechtlichen Fragen wird Zeit brauchen. Einstweilen bleibt die Möglichkeit, die Menge der zu lösenden Themen in einem stark regulierten Umfeld durch die Beschränkung auf die Verwendung von privaten oder halbprivaten Blockchains/Konsortialblockchains zu begrenzen, um dem Wunsch nach zügiger Umsetzung38 von rechtlicher Seite gerecht werden zu können. Diese Formen der Blockchain werden die Praxis in den nächsten Jahren prägen, während es Aufgabe von Wissenschaft und Praxis bleibt, auch auf die übrigen Fragen Antworten zu finden39. 38 Verwiesen sei dabei auch auf den politischen Willen zur Förderung der Blockchain/Distributed Ledger Technology; siehe Omlor, ZRP 2018, 85. 39 Zu diesen Herausforderungen siehe Blocher, AnwBl. 2016, 612, 618.
177
Blockchain und Smart Contracts Markus Kaulartz* I. Zum Begriff II. 1. 2. 3.
Die Blockchain Einführung Hintergrund Technische Details
III. 1. 2. 3.
Smart Contracts Vertrag im Rechtssinne Leistungsdurchführung Konfliktlösung
IV. Fazit
Literaturübersicht: Blocher, Walter, The next big thing: Blockchain – Bitcoin – Smart Contracts, AnwBl. 2016, 612–618; Eschenbruch, Klaus/Gerstberger, Robert, Smart Contracts, NZBau 2018, 3–8; Fries, Martin, Smart Contracts: Brauchen schlaue Verträge noch Anwälte, AnwBl. 2018, 86–90; Heckelmann, Martin, Zulässigkeit und Handhabung von Smart Contracts, NJW 2018, 504–510; Kaulartz, Markus, Die Blockchain-Technologie, CR 2016, 474–480; Kaulartz, Markus, Smart Dispute Resolution – Automatisierte Konfliktlösung, Tagungsband DSRI Herbstakademie 2017; Kaulartz, Markus/Heckmann, Jörn, Smart Contracts – Anwendungen der Blockchain-Technologie, CR 2016, 618–624; Linardatos, Dimitrios, Smart Contracts – einige klarstellende Bemerkungen, KuR 2018, 85–92; Schrey, Joachim/Thalhofer, Thomas, Rechtliche Aspekte der Blockchain, NJW 2017, 1431–1436; Söbbing, Thomas, Smart Contracts und Blockchain-Technologie, ITRB 2018, 43–46; Sorge, Christoph/Krohn-Grimberghe, Artus, Bitcoin: Eine erste Einordnung, DuD 2012, 479–484; Specht, Louisa/Herold, Sophie, Roboter als Vertragspartner?, MMR 2018, 40–44.
Blockchain und Smart Contracts Der Begriff Smart Contracts gehört zweifelsohne zu den Buzzwords des Jahres 2017. Der Beitrag beleuchtet, woher der Hype kommt, wieso die Bezeichnung eigentlich irreführend ist und was von Smart Contracts in Zukunft zu erwarten ist. I. Zum Begriff Smart Contracts sind weder smart, noch handelt es sich dabei um Ver- 1 träge. Smart Contracts sind vielmehr nichts Anderes als ein Stück Software, das typischerweise auf einer Blockchain läuft – dabei ist das noch nicht einmal zwingend. Sie werden in diesem Kontext derzeit aber viel
* Dr. Markus Kaulartz, Rechtsanwalt bei CMS Hasche Sigle in München.
179
Markus Kaulartz
diskutiert und tatsächlich entfalten sie in dieser Kombination auch ein besonderes Potential. Die derzeit betrachteten Anwendungsfälle sind mannigfaltig und es verwundert nicht, dass mitunter von einer Disruption gesprochen wird. Bevor näher auf Smart Contracts eingegangen wird, soll zunächst zusammengefasst werden, was eine Blockchain ist und weshalb diese Technologie geeignet ist, unsere Art der Kommunikation völlig zu ändern. II. Die Blockchain 1. Einführung 2 Die Blockchain-Technologie hat ihren Ursprung in der Kryptowährung Bitcoin1. Deren bis heute unbekannter Schöpfer Satoshi Nakamoto hatte 2008 eine Idee zu einer Kryptowährung veröffentlicht, die vor dem Hintergrund der damaligen Finanzkrise als von Zentralbanken unabhängiges Zahlungsmittel zu verstehen war. Wenig verwunderlich waren Bitcoins lange Zeit nur in einschlägigen Kreisen bekannt, kamen auch nur selten zum Einsatz und, wenn überhaupt, dann nur für wenig wertvolle Gegenleistungen. Wie die Kursentwicklung von Bitcoins zeigt, hat sich dies erst 2013 geändert, als ein erster moderater Anstieg festzustellen war. Mit einer Kursexplosion, wie sie bis 2017 zu sehen war, mit einem Höchstwert von rund 20.000 US-Dollar, hatte freilich niemand gerechnet, insbesondere nicht jene Techies, die in den Anfangsjahren für viele, viele Bitcoins Pizza bestellt haben. Ob Satoshi Nakamoto damit rechnete, ist nicht bekannt, allerdings dürfte er/sie dies in Kauf genommen haben. Dass die Erfüllung des Wunsches nach einem unabhängigen Zahlungsmittel nicht an der Akzeptanz von Bitcoins, sondern an der durch Spekulation getriebenen Volatilität scheitern könnte, wäre wohl auch vorhersehbar gewesen, gerade wenn die Zentralbank und die durch sie sichergestellte Geldwertstabilität fehlen. 3 Die Spekulation hat in der Folge zu zahlreichen Warnungen von Aufsichtsbehörden geführt2, manch kritischer Beitrag in der Tagespresse trug sein Übriges zum schlechten Bild von Bitcoin in der Öffentlichkeit bei. Leider wurden und werden die Begriffe Bitcoin und Blockchain zudem häufig durcheinandergeworfen, was dem Ansehen der Technologie nicht gerade förderlich ist.
1 Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System, 2008, abrufbar unter: https://bitcoin.org/bitcoin.pdf (zuletzt abgerufen am 30.4.2018). 2 Siehe etwa https://www.faz.net/-ikh-9548t (zuletzt abgerufen am 3.8.2018).
180
Blockchain und Smart Contracts
Nicht zuletzt deswegen ist es aber wichtig, an dieser Stelle genau zu 4 sein: Als Blockchain bezeichnet man die Technologie, Bitcoin ist ein Anwendungsfall derselben. Wichtig dabei zu verstehen ist, dass es nicht nur eine einzige Blockchain-Technologie gibt, sondern viele, mit stetig steigender Zahl. Die Bitcoin zugrundeliegende Blockchain ist aus heutiger Sicht auch relativ einfach gehalten und kaum mehr zu vergleichen mit aktuellen Entwicklungen. Hat man sich dies vergegenwärtigt, so ist auch eine Sache klar: Die Kritik an der Bitcoin-Blockchain, zum Beispiel der sehr hohe Stromverbrauch und die Langsamkeit von Transaktionen, ist nicht ohne weiteres auf heutige oder gar künftige Blockchains übertragbar. Für das Wachstum und die Verbreitung, die Bitcoins erfahren haben, war die Bitcoin-Blockchain niemals ausgelegt. Dies muss bedenken, wer hier mit Kritik ansetzt. 2. Hintergrund Die Blockchain-Technologien im Kern zu verstehen ist selbst für tech- 5 nisch erfahrene Menschen nicht einfach. Ohne hier Feinheiten zu verschiedenen Entwicklungen auszubreiten, ist es wichtig, sich folgende Eigenschaften klarzumachen3: –
Kern der Blockchain-Technologie sind Transaktionen von digitalen Werten4. Diese digitalen „Assets“ haben per se natürlich nur den Wert, den ihnen die Rechtsordnung oder die Parteien zuweisen. Im Anwendungsfall Kryptowährung wird dieser Wert als Bitcoin, Ether etc. bezeichnet, technisch spricht man von Tokens und mitunter von Coins. Jedenfalls aber erlaubt die Blockchain-Technologie, diese Werte zu verschieben, und nicht nur zu kopieren. Dies ist eine Eigenschaft, derer man sich erst einmal klar werden muss: Will man heute auf einem Computer oder zwischen zwei IT-Systemen zum Beispiel eine Datei verschieben, so ist das in aller Regel ein Kopier-, gefolgt von einem Löschvorgang. Wer eine E-Mail von einem Empfänger erhält, weiß nicht, ob der Empfänger die E-Mail bei sich noch speichert, oder ob ihr Inhalt exklusiv dem Empfänger zur Verfügung steht, außer natürlich ein Dritter/Treuhänder/Intermediär bestätigt dies. Hier bringt die Blockchain-Technologie einen in seiner Auswirkung nicht zu unterschätzenden Vorteil: Sie erlaubt es, die digitalen Werte/Güter/Tokens/Kryptowährungen/Coins/etc. zu ver-
3 Näher auch Kaulartz, CR 2016, 474 ff.; Blocher, AnwBl. 2016, 612 ff.; Schrey/ Thalhofer, NJW 2017, 1431 ff. 4 Es werden allerdings keine Datensätze verschoben, sondern eigentlich nur Berechtigungen „übertragen“, siehe im Detail Kaulartz, CR 2016, 474 ff.
181
Markus Kaulartz
schieben! Diese Eigenschaft hat den Anwendungsfall Bitcoin erst hervorgebracht, denn hier werden Werte ebenfalls verschoben, ähnlich einer physischen Geldmünze, was konsequenterweise die Geburt der Kryptowährungen einläutete. –
Auch wenn Folgendes auf Kritik stoßen mag, so zeigt die Praxiserfahrung, dass man das Verständnis der Thematik ungemein erhöhen kann, wenn man eine Blockchain als eine Datenbank versteht. Sie dient nicht zum Speichern von Massen von Daten, sondern vielmehr von oben beschriebenen Transaktionen.
–
Die Datenbank wird verteilt betrieben (distributed) in einem Netzwerk aus Rechnern. Die Kommunikation zwischen den Rechnern erfolgt wie in einem P2P-Netzwerk ohne Intermediär. Alle Rechner mit denselben Aufgaben sind gleichwertig, verbinden sich untereinander und halten die Blockchain lokal vor.
–
Ein Smart Contract ist ein Code, der typischerweise auf einer Blockchain betrieben wird und dafür sorgt, dass Transaktionen nur unter bestimmten Bedingungen durchgeführt werden5. Wie auch bei dem Begriff Blockchain kann man aus Gründen der Vereinfachung durchaus soweit gehen und behaupten, dass der Begriff Smart Contract einfach durch den Begriff Software ersetzt werden kann, was ebenfalls zum besseren Verständnis von Texten zum Thema beiträgt.
6 Es gibt vier wesentliche Folgen dieser aufgezählten Eigenschaften: –
Da die Blockchain lokal gespeichert wird bzw. werden kann, ist die Verfügbarkeit der Daten sehr hoch. Es ist nicht nötig, eine Datenbank in der Cloud anzuzapfen, was obendrein eines Internetzugangs bedarf, sondern die Daten liegen auf dem eigenen Rechner.
–
Eine hohe Integrität ist damit begründet, dass Manipulationen oder andere Änderungen an einer Blockchain-Instanz sofort von anderen im Netzwerk gespeicherten Blockchain-Instanzen überschrieben werden würden. Ein Angreifer müsste also mehr als eine Blockchain ändern, um erfolgreich Daten zu manipulieren.
–
Per Definition sind Daten in den meisten Blockchain-Implementierungen unveränderbar und damit sicher, da sie nur hinzugefügt, aber nicht entfernt werden können. Dies liegt darin begründet, dass jeder neue Datenblock auf einen vorherigen Datenblock verweist, was bildlich zu einer Kette führt und es aber nicht erlaubt, Daten in einzelnen Blöcken zu ändern, da dann die Kette nicht mehr valide ist. Dass hier
5 Kaulartz/Heckmann, CR 2016, 618, 619; Linardatos, KuR 2018, 85, 86 ff. mit weiteren Definitionsversuchen.
182
Blockchain und Smart Contracts
Konflikte mit dem Recht auf Vergessen aus der Datenschutz-Grundverordnung bestehen, liegt auf der Hand. –
Schließlich sind Blockchains in der Regel transparent, für die Öffentlichkeit zumindest in öffentlichen, nicht als privat innerhalb eines Konsortiums betriebenen Blockchains. Dies bedeutet, dass die Daten innerhalb einer Blockchain eingesehen werden können. Im Falle der ältesten, als Bitcoin-Blockchain bezeichneten Blockchain hat dies etwa die Folge, dass bei Kenntnis der öffentlichen Schlüssel nachvollzogen werden kann, wer wem Bitcoins übertragen hat.
Wichtig ist, die Blockchain-Technologie nicht über jeden Anwendungs- 7 fall zu stülpen, nur um dem Trend zu folgen, sondern sie vielmehr dort zur Anwendung zu bringen, wo heute technische Probleme liegen, die man ohne die Blockchain-Technologie nicht oder nur ineffizient lösen kann. Schaut man sich zum Beispiel die Überweisung von Geld oder die Verwahrung und Übertragung von Aktien in einem Depot an, so ist augenscheinlich, dass hierzu heute nur deswegen eine Bank als vertrauenswürdiger Intermediär eingesetzt wird, weil die Digitalisierung des Bar- und Aktiengeschäfts keine andere Wahl ließ. Wie sonst sollte physisches Geld und eine schriftliche Aktienurkunde, die beide digital als Nummer in einer Datenbank gespeichert werden, ihren Besitzer wechseln, ohne dass ein Intermediär dies überwacht, steuert und für das Ergebnis einsteht? Die Notwendigkeit einer Bank liegt auf der Hand. Die Frage ist indes, wie man das elektronische Überweisungs- und Depotgeschäft strukturiert hätte, hätte man damals neben dem Internet schon die Blockchain-Technologie in ihrer heutigen Form gekannt. Man darf vermuten, dass man einen Intermediär nicht für notwendig erachtet hätte, denn dieser ist doch nur eine teure, aufwendige, fehlerträchtige und eigentlich nicht notwendige Hilfsinstanz zur Erreichung des Ziels, einen Wertetransfer digital abzubilden, der bislang physisch stattfand. Vor diesem Hintergrund erscheint die Diskussion müßig, ob die Banken dank der Blockchain-Technologie abgeschafft werden müssen – natürlich nicht, denn Banken erfüllen ganz verschiedene Funktionen. Dort jedoch, wo sie nur die Rolle eines Intermediärs einnehmen, der einzig und allein dafür gut ist, die Lücke zu schließen, die sich damals auftat, als der physische Handel von Werten digitalisiert wurde, und die heute dank neuer Technologie einfach nicht mehr vorhanden ist, da sind Banken insoweit obsolet geworden. Dies mag sie allerdings nicht besonders treffen, denn eine Bank hat weitaus wichtigere Funktionen als nur den Transfer von Geld und Aktien, was ohnehin viel kostet und wenig abwirft. Es wäre ja sogar vorstellbar, dass Banken ihre Verwahrfunktion beibehalten, und die Wallets ihrer Kunden speichern.
183
Markus Kaulartz
3. Technische Details 8 Die Blockchain-Technologie soll hier nicht im Detail erläutert werden. Dies kann in der Kürze sowieso nicht geschehen, wird in der gebotenen Länge aber schnell kompliziert und ist anderswo ohnehin schon geschehen6. An dieser Stelle sollen die Ausführungen auf drei Kernbegriffe beschränkt werden: –
Der sogenannte Hashwert wird gerne verglichen mit einem Fingerabdruck oder einer Prüfsumme einer Datenmenge7. Ein sehr einfacher und natürlich wenig praxistauglicher Hashwert wäre die Quersumme: Bildet man die Quersumme von großen Zahlen, lassen sich diese schneller vergleichen, wobei eine unterschiedliche Quersumme den Beweis für ungleiche Quellzahlen liefert, gleiche Quersummen natürlich nicht. Bei Blockchain verwendete Hashwerte bestehen mitunter aus 32 alphanumerischen Zeichen. Obwohl der Definitionsbereich schon alleine wegen der begrenzten Zeichenzahl kleiner ist als der Wertebereich und Kollisionen daher immer möglich sind, spricht man von Kollisionsresistenz, wenn es keine effiziente Möglichkeit gibt, zwei unterschiedliche Datenmengen zu finden, deren Hashwerte identisch sind. Die Rede ist dann von kryptographischen Hashfunktionen. Zur Klarstellung sei ergänzt, dass ein Hashwert keine Verschlüsselung von Daten darstellt, da es auf Grund der Kompression in wenige Zeichen keine Entschlüsselung geben kann. Ein Rückrechnen wäre also nur möglich, wenn die Menge an Rohdaten bekannt wäre, man Hashwerte dieser Rohdaten erstellt und dann nur diese Hashwerte miteinander vergleicht.
9 –
Das zweite wichtige Element der Blockchain-Technologie sind die digitale Signatur und die Verschlüsselung von Daten8. Beides macht die Verwendung von privaten und öffentlichen Schlüsseln notwendig: Einmal, um die mittels geheimem privatem Schlüssel durchgeführte Signatur anhand des öffentlich bekannten Schlüssels auf ihre Validität zu überprüfen, und einmal, um die mit dem öffentlichen Schlüssel verschlüsselten Daten mit dem privaten Schlüssel wieder zu entschlüsseln. In beiden Verfahren liegt der Kern der BlockchainTechnologie. In der Folge ist der öffentliche Schlüssel, oder Varianten davon, auch die Art Kontonummer, die man bekannt macht, um zum Beispiel Bitcoins oder andere digitale Werte zu erhalten. Der Schlüs-
6 Sorge/Krohn-Grimberghe, DuD 2012, 479 ff.; Kaulartz, CR 2016, 474 ff. 7 Näher dazu Kaulartz, CR 2016, 474, 475. 8 Näher dazu Kaulartz, CR 2016, 474, 475.
184
Blockchain und Smart Contracts
sel zur Durchführung einer Transaktion, bildlich als die PIN und TAN, ist hingegen der private Schlüssel. Er öffnet die Verfügungsmacht über die dem korrespondierenden öffentlichen Schlüssel zugewiesenen Werte. Man bezeichnet die Kombination aus privatem und öffentlichem Schlüssel, also das Schlüsselpaar, in der Blockchain-Welt gerne auch als Wallet, also als digitale Geldbörse. Hier kommt auch ein Sicherheitsaspekt ins Spiel: Die hohe Sicherheit der Blockchain-Technologie selbst hat dort eine Schwachstelle, wo es um die Verwahrung der privaten Schlüssel geht: Denn die Kenntnis eines einzigen privaten Schlüssels – meist eine Buchstaben- und Zahlenkombination von zweistelliger Länge – bedeutet die Verfügungsgewalt über das dahinterstehende Vermögen, vielleicht abertausender Bitcoins. –
Schließlich sei hier noch auf den Konsens-Mechanismus (consensus 10 mechanism) eingegangen. Dieser ist wesentlich dafür, dass es keines Intermediärs bedarf, der eine Blockchain betreibt. Im Kern bedeutet dies bei der alten Bitcoin-Blockchain etwa, dass Ergänzungen der Bitcoin-Blockchain nur durchgeführt werden können, wenn eine Mehrheit der beteiligten Rechenkapazitäten dies bestätigt. Tatsächlich sind somit auch Änderungen der Blockchain möglich, man spricht dann von Forks und kennt dies beispielsweise von Bitcoin Cash, einer Kryptowährung, die nur deswegen besteht, weil eine gewisse Zahl der an der Bitcoin-Blockchain beteiligten Rechner an einem Bitcoin-Fork nicht teilgenommen haben. Im Gegensatz zum hier beschriebenen und von Bitcoin bekannten Proof-of-Work Verfahren wird bei Proof-of-Stake zum Beispiel darauf abgestellt, wer wie viele Werteinheiten hält, und nicht, wer die größte Rechenkapazität sein Eigen nennt. Im Konsens-Mechanismus liegt die Wahrheit der Blockchain-Technologie – auf Grund des Proof-of-Work Verfahrens wäre es zum Beispiel möglich, dass jemand eine Blockchain manipuliert, wenn er (deutlich) mehr als die Hälfte der Rechenkapazität in sich vereint. Diese Gefahr ist nicht fernliegend. Bei Proof-of-Stake müsste dieser jemand indes mehr als die Hälfte der Werte besitzen, was – um bei diesem Beispiel zu bleiben – bei Bitcoins praktisch nicht geschehen wird. Es gibt natürlich noch weitaus mehr Überlegungen, wie der KonsensMechanismus verfeinert werden kann, letztlich wird man hier auf den konkreten Anwendungsfall einer Blockchain schauen müssen. Klar sollte aber werden, dass ein Konsens-Mechanismus dazu führen kann, die Rolle des Einen auf die Schultern von vielen zu verlagern, was im Ergebnis Vertrauen stärkt, denn man vertraut nicht mehr dem Einen (der Bank), sondern vielen und damit im Kern der Technologie. 185
Markus Kaulartz
Dieses Argument ist natürlich Kritik ausgesetzt, man hört immer wieder, dass Banken ja ein ureigenes Interesse an der sicheren Verwahrung von Geldern haben, die Blockchain-Technologie aber noch zu jung ist. Tatsächlich wird man zugestehen müssen, dass die meisten Menschen ihr gesamtes Vermögen ungern in einer Blockchain sehen, aber dies mag auch spekulative Gründe haben und letztlich entscheidet auch die weitere Forschung über die künftige Akzeptanz der Technologie. III. Smart Contracts 11 Bei Smart Contracts handelt es sich um eine Erscheinung, die heiß diskutiert, aber lauwarm serviert wird. Vorneweg – man kann es nicht oft genug schreiben: Smart Contracts sind weder smart, noch handelt es sich dabei um Verträge. Als Smart Contract bezeichnet man schlicht den Code, der die Ausführung von Wertetransaktionen auf einer Blockchain steuert. Dass hier von einem Contract die Rede ist, ist wohl den Anfängen der Diskussion in der Szene zu verdanken, als man noch davon ausging, dass Code gleich Law9 und Code zwischen zwei Transaktionsparteien gleich Contract ist. Aufgeschreckt durch diese existenziellen Drohungen wurde der Irrtum in der rechtswissenschaftlichen Literatur dann schnell aufgeklärt. 1. Vertrag im Rechtssinne 12 Dabei ist es noch nicht einmal ausgeschlossen, dass zwei Parteien tatsächlich einen Vertrag in Code formulieren und diesen auch schließen. Die Vertragsfreiheit lässt den Parteien die Möglichkeit, die Sprache ihrer Wahl zur Formulierung ihres Willens zu wählen10. Hier liegt aber auch schon das Problem, denn natürlich bedarf der rechtlich wirksame Vertragsschluss zweier übereinstimmender Willenserklärungen und man mag schon Zweifel haben, ob Erklärungsbewusstsein und Geschäftswille vorliegen, wenn jemand einen privaten Schlüssel in ein Formular eingibt, die Adresse eines Smart Contracts auswählt und dann auf Absenden klickt. Es mag die Fälle aber geben, und man darf vielleicht sogar davon ausgehen, dass es sie dort geben wird, wo nicht Menschen – und dann nämlich eher in natürlicher Sprache – sondern Maschinen miteinander kommunizieren. Es ist tatsächlich umständlich, den Maschinen zuerst englisch beizubringen, damit sie dann auch Verträge schließen können 9 Fries, AnwBl. 2018, 86, 87. 10 Im Einzelnen zur Qualifizierung von Smart Contracts Kaulartz/Heckmann, CR 2016, 618 ff.; Heckelmann, NJW 2018, 504, 505 ff.
186
Blockchain und Smart Contracts
– ob sie dann de lege ferenda als elektronische Person selbst verpflichtet oder ob die natürliche oder juristische, hinter der Maschine stehende und sie betreibende Person Vertragspartner wird11, sei für den Moment einmal ignoriert – denn die Kommunikation in definierten Datenformaten und die Abarbeitung von Code können sie doch schon heute viel besser. Es mag daher so sein, dass Menschen in natürlicher Sprache und Maschinen in Code Verträge schließen, wenn jeweils zwei übereinstimmende Willenserklärungen vorliegen, und natürlich auch im Übrigen ein wirksamer Vertrag besteht und insbesondere nicht gegen nicht-dispositives Recht verstoßen wird12. Ein besonderes Problem folgt dann aus den §§ 305 ff. BGB, wenn der 13 Code für eine Vielzahl von Verträgen vorformuliert ist und von der einen der anderen Partei gestellt wird13. Man mag sich hier auf den Standpunkt der AGB-Rechtswidrigkeit stellen, entweder weil die Klauseln überraschend sind, weil sie die Vertragspartei auf Grund ihrer Eigenart als Code unangemessen benachteiligen oder aber weil der Code nicht wirksam in den Vertrag einbezogen wurde. Hier wird man allerdings sehen müssen, dass man von überraschenden Klauseln doch schon kaum ausgehen kann, wenn man die große Hürde der Willenserklärung genommen hat: Wer mit Erklärungsbewusstsein seinen Willen in Code formuliert, kann wegen des Codes nicht mehr überrascht sein. Auch eine unangemessene Benachteiligung wird man eher nicht annehmen sollen, sind die §§ 307 ff. BGB doch auf die reine Inhaltskontrolle beschränkt. Die Frage der Einbeziehung mag man zwar in der Tat mit guten Gründen hinterfragen können14 – allerdings ist es doch höchstrichterlich anerkannt, dass § 305 Abs. 2 BGB bei Formularverträgen keine Anwendung findet15. Nun mag man auch hier sagen können, dass ein Smart Contract mit klassischen Formularverträgen, unter deren Vertragstext eine Unterschrift gesetzt wird, nicht vergleichbar ist, da der Code von Smart Contracts eher durch einen technischen Verweis referenziert wird, was ihn in die Nähe von Klauseln rückt, die den AGB-Text gerade einbeziehen. Hier wird man allerdings eine pauschale Betrachtung vermeiden und vielmehr im Einzelfall fragen müssen, wie der Smart Contract Code tatsächlich eingebunden wird. Dort nämlich, wo er im Sinne eines Formularvertrages
11 12 13 14 15
Specht/Herold, MMR 2018, 40 ff.; Heckelmann, NJW 2018, 504, 505, 506. Fries, AnwBl. 2018, 86, 87; Söbbing, ITRB 2018, 43, 46. Heckelmann, NJW 2018, 504, 505, 507. Fries, AnwBl. 2018, 86, 88. BGH v. 27.10.1994 – IX ZR 168/93, NJW 1995, 190; zu diesem Argument ferner Kaulartz/Heckmann, CR 2016, 618, 622.
187
Markus Kaulartz
abgeschlossen wird und die Parteien unmittelbar von ihm Kenntnis nehmen, mag § 305 Abs. 2 BGB tatsächlich keine Rolle mehr spielen16. 14 Im Ergebnis geht die Diskussion hier aber in dieselbe Richtung. Nach hiesiger Ansicht liegt der Schwerpunkt der Prüfung bei der Wirksamkeit der Willenserklärung und damit der Frage, wie der objektive Empfängerhorizont einen vermeintlich in Code ausgedrückten Willen versteht. Sollte hier aber wirklich eine rechtswirksame Willenserklärung vorliegen, darf der pauschale, den Einzelfall außer Acht lassende Verweis auf § 305 Abs. 2 BGB den Vertragsschluss jedenfalls nicht hindern. 15 Am Ende wird man sich einig sein, dass die Fälle, in denen Menschen oder eben Maschinen auf diese Art und Weise Verträge schließen, derzeit praktisch ausgeschlossen, in naher Zukunft aber durchaus verbreiteter sein dürften. Gerade im klassischen Bereich der Machine-to-MachineKommunikation schlummert insoweit viel Potential, und was ist naheliegender, als auf den Code zu schauen, wenn zwei Maschinen miteinander kommunizieren. 2. Leistungsdurchführung 16 Nach diesen Worten sollte klar geworden sein, dass Smart Contracts (heute) in aller Regel der Durchführung einer Leistung viel näher sind als einem Vertragsschluss17. Sie mögen also als Durchführung des zuvor auf anderem Wege – konkludent – Vereinbarten dienen, mitunter werden solche Leistungsdurchführungen mit einem nach objektivem Empfängerhorizont geschlossenen Vertrag vielleicht sogar zeitlich zusammenfallen. Jedenfalls aber stellen sie sicher, dass ein Vertrag nicht gebrochen werden kann, soweit die Leistungsdurchführung betroffen ist, und dass Transaktionskosten sinken18. 17 Um klar zu sein: Dass Smart Contracts „nur“ der Leistungsdurchführung dienen und „nicht sogar“ noch den Vertragstext beinhalten, verringert ihr Potential nicht im Geringsten. Hat man nach obigen Ausführungen nachvollzogen, dass es die Blockchain-Technologie ermöglicht, Werte zu verschieben anstatt sie nur zu kopieren, so liegt auf der Hand, dass die durch Code gesteuerte Verschiebung von Werten tatsächlich disruptiv ist.
16 Zum Verständnis des Textes Fries, AnwBl. 2018, 86, 88; Söbbing, ITRB 2018, 43, 46. 17 Kaulartz/Heckmann, CR 2016, 618, 623. 18 Linardatos, KuR 2018, 85.
188
Blockchain und Smart Contracts
Ein einziges Beispiel19: Ein Hersteller von Speiseeis beauftragt ein Lo- 18 gistikunternehmen, seine Ware zu einem Abnehmer zu transportieren. Schmilzt das Eis während der Fahrt, beginnt für alle Beteiligten, einschließlich der Versicherung, ein umständlich langer Prozess, der viel Papier benötigt und noch mehr Zeit, und besonders viele Ressourcen bindet, völlig unnötigerweise. Dabei ist die Sache im Grunde doch ganz einfach: Wenn Temperatur im Laderaum über Null Grad, dann zahle Schadensersatz und zahle nicht Gegenleistung. Werden die Zahlung von Schadensersatz und Gegenleistung also unter im Smart Contract niedergelegten Bedingungen erbracht, so erübrigt es sich, dass die Parteien an diesem Punkt händisch tätig werden. Zugleich sinkt das Insolvenzrisiko gegen Null, denn die Forderung muss ja gerade nicht mehr durchgesetzt werden. Selbst einer Vollstreckung bedarf es dann nicht. Vor diesem Hintergrund werden Smart Contracts gerne als selbst-ausführend und selbstdurchsetzend bezeichnet. Das Thermometer, das im Beispiel die Temperatur der Ladefläche liefert, nennt man Oracle. Es ist die Verknüpfung zur analogen Welt, in welche Smart Contracts ohne Hilfe nicht hineinschauen können. 3. Konfliktlösung An dieser Stelle wird es nochmals interessant, denn man stellt sich na- 19 türlich die Frage, was geschieht, wenn das Oracle falsche Werte liefert, oder der Smart Contract Fehler enthält und die Leistung daher fehlerhaft durchgeführt wird. Zwar kommt eine händisch angestoßene Rückabwicklung in Betracht, im Streitfall sogar angestoßen durch eine Gerichtsentscheidung. Eleganter wäre es allerdings, in solchen Konfliktfällen die Vorzüge von Smart Contracts zu nutzen20. Die Rede ist von Smart Contract Dispute Resolution21, bei welcher sich die Parteien auf eine Schiedsvereinbarung einigen, welche eigens für solche Fälle adaptierte Schiedsregeln beinhaltet. Die Idee wäre dann, dass der Smart Contract im Streitfall den Sachverhalt selbst zusammensucht und an das Schiedsgericht sendet, das dann – eines Tages vielleicht sogar automatisiert und ohne menschliche Richter – sich der Sache annimmt, eventuell die Parteien hört und eine Entscheidung trifft, welche zurück zum Smart Contract fließt und die weitere Leistungsdurchführung steuert. Schafft man es, die digitale Welt damit nicht einmal im Konfliktfall zu verlassen, so
19 Weitere Beispiele: Kaulartz/Heckmann, CR 2016, 618, 620 f.; Linardatos, KuR 2018, 85, 88 ff.; Eschenbruch/Gerstberger, NZBau 2018, 3 ff. 20 Kaulartz/Heckmann, CR 2016, 618, 624. 21 Näher dazu Kaulartz, Tagungsband DSRI Herbstakademie 2017, 599.
189
Markus Kaulartz
wird das Verfahren noch effizienter und vor allen Dingen auch bei geringen Streitwerten attraktiv. 20 Als Vorstufe der Smart Contract Dispute Resolution würden sich auch einfache Verfahren anbieten, wie PayPal sie zum Beispiel verfolgt: Kommt es bei PayPal zum Konflikt, stellt der Algorithmus die ganz einfache Frage, wo die Ware liegt und wo das Geld. Befindet sich beides bei derselben Partei, kann etwas nicht stimmen, und das in jeder Rechtsordnung. Durch diesen einfachen Kniff erübrigt sich in vielen Fällen der Weg zur Justiz. IV. Fazit 21 Es ist nicht leicht, das Potential von Blockchains auch nur annähernd zu verstehen oder vorherzusagen. Klar ist, dass die Technologie viele Vorteile bringt, mit denen sich das eine oder andere bestehende Problem viel effizienter und teilweise vielleicht sogar überhaupt erst lösen lässt. Dabei kann man nicht einmal mehr von einem Hype sprechen, denn sogar weit über die Crypto-Szene hinweg beschäftigen sich Firmen mit den Themen. Praktisch alle Technologie- und Finanzunternehmen informieren sich über das Potential, viele gründen eigene neue Abteilungen zur Erforschung von passenden Anwendungsfällen. Manches mag marketinggetrieben sein und das Wort Blockchain missbrauchen. Gerade im Finanzsektor und in der Industrie gibt es aber viele Bereiche, die nach einer Anwendung der Blockchain-Technologie geradezu rufen. Natürlich will auch niemand den Zug verpassen und dieselben schmerzlichen Erfahrungen machen, die manch Unternehmen beim Ignorieren von Internet und E-Commerce machte. Betrachtet man aber die Kräfte, die derzeit zur Verbreitung und zur Erforschung der Blockchain-Technologien mobilisiert werden, so sollte man keine Zweifel daran haben, dass hier gerade der Grundstein für eine neue Art der Kommunikation gelegt wird.
190
Technologiewandel am Beispiel Internet der Dinge Reinhard Posch* I. Cloud – Wandel der Kommunikation 1. Cloud Services werden nicht individuell aufgestellt 2. Der Aspekt Firewall verliert seine Bedeutung II. Wandel der Prozesse und Verarbeitungen 1. Möglichst kleine Leistungsportionen mit wenig Abhängigkeiten 2. Verschwinden des Session-Begriffs
III. Internet der Dinge – Risiken IV. Cyber Security – Potentiale und Grenzen V. 1. 2. 3.
PC – Smartphone – IoT Device PCs und Laptops Smartphones und Tablets IoT Devices
VI. Wir brauchen robuste Kommunikationsstrukturen
I. Cloud – Wandel der Kommunikation Cloud1 als Speichermedium bringt vor allem zwei Aspekte, die ein grund- 1 legendes Umdenken erfordern. Diese Situation wurde dadurch möglich, dass Bandbreiten und Distanzen eine zunehmend nachgeordnete Rolle spielen und dieser Aspekt wird mit der Einführung von 5G noch deutlicher werden. In die Bepreisung von Internetzugängen geht das Volumen und die Verbindungszeit, aber in vielen Fällen nicht die Bandbreite ein. Die effektive Bandbreite über die gesamte Kommunikationsstrecke, aber auch die Zahl der Teilstrecken und die Distanz zwischen Sender und Empfänger, sind nicht Bestandteil der Preismodelle, wodurch Cloudservices und andere stark konzentrierende IT-Services attraktiv werden. 1. Cloud Services werden nicht individuell aufgestellt Der Unterschied zwischen einem vertraglich vereinbarten IT-Service 2 und einem als Standard Cloud-Service angebotenen ist mit dem Unterschied zwischen einem Maßanzug und einer Konfektionsware vergleichbar. Wie bei einer Konfektionsware werden Ausprägung und Features auf * Prof. Dr. Reinhard Posch, Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie, Technische Universität Graz 1 Der Beitrag geht zurück auf ein Referat beim DGRI-Drei-Länder-Treffen, Innsbruck, am 1.7.2017 zur thematischen Einführung. Der Vortragsstil wurde beibehalten.
191
Reinhard Posch
die Bedürfnisse des durchschnittlichen Konsumenten abgestimmt und in vorgefassten Paketen angeboten. Damit sind wesentlich günstigere Kosten erzielbar, doch können auch individuell empfundene Bedürfnisse nicht abgebildet werden. Diese Situation führt zwar zu wünschenswerten Standards, bedeutet aber gleichzeitig, dass es für individuelle Anwendungen prinzipielle Limits geben kann. 2. Der Aspekt Firewall verliert seine Bedeutung 3 Ein augenscheinlicher Aspekt, wo diese nicht vorhandene Individualität durchschlägt, ist darin zu sehen, dass Firewalls und Proxys im Bereich des Anwenders nicht existieren. Auch hier ist zwar davon auszugehen, dass die Schutzsysteme in der Regel wesentlich professioneller betrieben und gewartet werden, als dies bei einem Betrieb kleiner oder mittlerer Größe normalerweise der Fall ist, doch verschwimmt die Unterscheidung zwischen innerbetrieblichen Zugängen zu Daten und solchen von außen, da prinzipiell alle Daten mit den entsprechenden Zugangsmechanismen auch von außen zugänglich sind. 4 Gerade bei diesen Zugangsmechanismen wird aber wieder dem Bedürfnisspektrum des durchschnittlichen Kunden eine besondere Bedeutung zukommen. In sehr vielen Fällen werden damit die Zugänge nur mit UserID und Passwort geschützt sein. Verfahren zur Identifikation nach eIDAS2 genauso wie qualifizierte Website-Zertifikate3 sind wegen des Umstands, dass die Entwicklung von Unternehmen aus den USA betrieben wird, zudem praktisch inexistent. Dazu ist allerdings festzuhalten, dass jede Autorisierungsmethode, die durch idente Wiederholung wieder zur Zugangsberechtigung führt, wie dies bei Passworten der Fall ist, naturgemäß potentiell einem erfolgreichen Angriff des Ausspionierens ausgesetzt ist. II. Wandel der Prozesse und Verarbeitungen 5 Die oben im Bereich der Datenspeicherung angesprochenen Veränderungen bringen auch eine deutliche Veränderung der Prozesse und Verarbeitungselemente mit sich. Diese werden durch die Struktur der immer
2 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32014R0910. 3 https://www.enisa.europa.eu/publications/qualified-website-authenticationcertificates.
192
Technologiewandel am Beispiel Internet der Dinge
häufiger bzw. vorwiegend verwendeten mobilen Geräte4 sowie durch die Art, wie Services erbracht werden, bedingt. Aus den auch oben genannten Gründen heraus wird man Servicestandorte primär nach den Faktoren Energie, lokale Kosten sowie Anbindungspotentiale auswählen und soweit wie möglich konzentrieren, aber auch, was die Last betrifft, verteilen – sowohl innerhalb der Servicecluster als auch über die Servicecluster hinweg. 1. Möglichst kleine Leistungsportionen mit wenig Abhängigkeiten Parallelisierung und andere Arten der Leistungssteigerung und des Last- 6 ausgleiches funktionieren besonders gut, wenn es zwischen den einzelnen Verarbeitungsschritten möglichst wenig Abhängigkeiten gibt und wenn diese auf der Zeitachse möglichst nicht unmittelbar aufeinander folgen. Wenn für alle Verarbeitungsschritte i frühestens der Verarbeitungsschritt 7 i+k von diesem abhängig ist, dann können jeweils k parallele Verarbeitungsschritte vor jedem Schritt abgeschlossen werden. Wenn zudem alle für den Verarbeitungsschritt i notwendigen Informa- 8 tionen im Verarbeitungsschritt i vom Client an den Service mitgegeben werden, dann können die k Schritte auch auf beliebige Standorte bzw. Clusterelemente verteilt werden. Ein offensichtliches Beispiel wäre die Untersuchung von Elementen auf eine Eigenschaft. Wollte man n Zahlen auf die Eigenschaft „prim“ untersuchen, so könnte man diese unabhängig auf beliebig viele Serviceinstanzen verteilen. Einer derartigen Situation muss man möglichst nahekommen, um Effizienz zu maximieren5. 2. Verschwinden des Session-Begriffs In sehr vielen Fällen findet Verarbeitung und Kommunikation über das 9 Internet den Eigenschaften der Internet-Browser folgend statt, sowohl was die Codierung6 wie auch was die Sicherungsmethoden betrifft. Während bei konventionellen Workstations und Laptops eine Session7 als Grundelement der Verarbeitung stattfindet, 4 https://ut11.net/blog/mobile-communications-report-2016/. 5 Information Technology, Volume 34, Issue 1, Pages 62–74, ISSN (Online) 21967032, ISSN (Print) 1611-2776, DOI: https://doi.org/10.1524/itit.1992.34.1.62. 6 https://www.w3schools.com/html/. 7 https://de.wikipedia.org/wiki/Transport_Layer_Security.
193
Reinhard Posch
ist die Situation bei mobilen Geräten und APPs deutlich anders. Nicht nur ist die Session-Situation aus Sicht der Services – wie dies oben dargestellt wurde – eher nicht wünschenswert, sie ist auch aus der Grundstruktur mobiler Applikationen nicht in der mit Browsern vergleichbaren Art gegeben8. 10 Bei mobilen Applikationen findet eine Grundbindung und Authentifizierung meist bei der Installation bzw. kurz danach statt und bleibt dem Grunde nach andauernd erhalten. Damit findet aber ein Wandel zu transaktionsorientierter Kommunikation – unabhängig davon, ob diese technisch als Transaktion9 abgebildet wird oder nicht – statt.
Dieser Umstand hat auch eine deutliche Auswirkung auf Autorisierungsverfahren und Methoden. III. Internet der Dinge – Risiken 11 Das Internet der Dinge hat spezifische Eigenschaften. Eine davon ist das Potenzial extrem hoher Gerätezahlen im Internet10. Während es für eine Person kaum Gründe gibt, mehr als ein oder vielleicht zwei Mobiltelefone zu verwenden, haben IoT-Geräte diese Grenzen nicht. Es ist z. B. gut vorstellbar, dass jeder Schalter in einem Privathaus für Lichter etc. im Internet verfügbar ist und für Schaltvorgänge angesprochen werden kann. 12 Diese Massensituation wird durch die Preise gefördert. Jedermann kann ein voll ausgestattetes Device (einschließlich persistentem Speicher und
8 https://developers.google.com/appmaker/properties. 9 https://de.wikipedia.org/wiki/Transaktion_(Informatik). 10 Https://www.gartner.com/newsroom/id/3598917.
194
Technologiewandel am Beispiel Internet der Dinge
Wi-Fi sowie analogen und digitalen Ein/Ausgabeports) für weniger 2 Euro (Porto inklusive) am chinesischen Markt im Internet kaufen11. Die Eintrittsbarriere in den Markt ist unter diesem Gesichtspunkt prak- 13 tisch nicht vorhanden. Die Größe von etwa 2 mal 2 Zentimeter, das Gewicht von wenigen Gramm und der geringe Stromverbrauch sind zusätzlich Kriterien für einen breiten Einsatz. Dies bedeutet auch, dass bereits jetzt Systeme angeboten werden, die sich um Sicherheit und Schutz der Daten kaum kümmern – einzig die Funktionalität zählt. Dabei handelt es sich nicht um hypothetische Situationen, sondern es sind derartige Umsetzungen mit unsicheren Komponenten durchaus am Markt zu finden, wie das das Beispiel eines LG Staubsaugerroboters12 zeigt. Dieser lässt sich von Hackern aus dem Internet zum Übertragen seines Orientierungsbildes „umprogrammieren“. Wenn wir uns in Bezug auf Regulierung und Kontrolle nicht bewegen, 14 werden wir sehr bald eine große Anzahl von sicherheitstechnisch minderwertigen Geräten im Feld haben, und dies wird eine perfekte Umgebung für kriminelle Aktivitäten. Das Erkennen, wann und wo der Einbruch in ein privates Haus mit minimalem Risiko erfolgen kann, könnte sogar als Service in der kriminellen Szene angeboten werden13. Geräte kommen aus der ganzen Welt, so dass wir keine faire Chance 15 haben, die Quelle zu beeinflussen. Wir müssen dennoch diese Sicherheitslücken bald schließen, da dies zu einer großen Sicherheitsschwäche führen könnte. Je mehr unsichere Geräte im Betrieb sind, desto schwieriger wird das Schließen der Sicherheitslücke sein. Ein möglicherweise erfolgreicher Weg wäre, die Lieferkette in die Haftung einzubinden, wenn etwas passiert. In einem ersten Schritt könnte die gemeinsame Haftung für Schäden, geteilt zwischen Benutzer und Anbieter, die Möglichkeit bieten, das Anbieten sicherheitstechnisch augenscheinlich problematischer Geräte deutlich zu reduzieren und sogar dazu führen, dass Anbieter die Benutzer über die Risiken informieren, damit sie nicht haftbar werden. Was wir tun müssten, wäre, eine Reihe von effektiven Mindestsicherheitsstandards einzuführen und auf dem neuesten Stand zu halten, die, wenn sie befolgt werden, die Verkäufer von der Haftung befreien – ein
11 https://wiki.wemos.cc/products:d1:d1_mini. 12 https://thehackernews.com/2017/10/smart-iot-device-hacking.html. 13 Https://de.wikipedia.org/wiki/Darknet.
195
Reinhard Posch
Mechanismus, der nicht ungewöhnlich ist, etwa bei Zahlungssystemen basierend auf Chipkarten. Zertifizierung kann nach den Vorstellungen der EU14 hier einen besonderen Beitrag leisten. IV. Cyber Security – Potentiale und Grenzen 16 Cyber Security ist zu einem Geschäftszweig geworden. Wir werden uns der Lücken bewusst, die aufgrund der Sicherheitsunterschiede unterschiedlichster Produkte und Anwendungen bestehen, und dies geht allmählich in das allgemeine Bewusstsein ein. Was uns nicht bewusst ist, ist, dass die Mengen deutliche Unterschiede machen und die Qualität verändern. Man denke nur an Bilder – solange nur Bilder mit einer Geschwindigkeit von unter 5 pro Sekunde übertragen werden, sind Filme nicht vorstellbar. Sobald die Grenze von 10 pro Sekunde überschritten wurde, kam eine neue Facette ins Spiel. 17 Es ist allgemein bekannt, dass größere Einheiten in vielen Situationen effizienter und produktiver sind. Suchmaschinen, Cloud, all das sind perfekte Beweise, die auch in der Vermarktung verwendet werden. Dies wird auch durch das Argument höherer Stabilität und Zuverlässigkeit untermauert. Was in diesem Zusammenhang manchmal übersehen wird, ist der Aspekt des Single Point of Failure. Diesem Aspekt wird oft mit Argumenten wie mehreren Standorten, Redundanz usw. begegnet. 18 In dieser Hinsicht sollten wir vielleicht von der Entwicklung der Gesellschaft lernen. Es ist allgemein bekannt, dass die Machtverteilung in einer demokratischen Gesellschaft einem zentralistischen Regime mit einem „Single Point of Failure“ überlegen ist. Was bedeutet das für die neuen Technologien? Die Vorstellung, dass Monopole mit Suchmaschinen das Potenzial solcher Gefahren aufweisen, ist in unseren Gedanken bereits präsent. Was andere Technologien betrifft, müssen wir das Bewusstsein dennoch weiter schärfen. 19 Dazu einige Beispiele, die aufzeigen, dass diese Aspekte nicht geringfügig sind. Für die Allgemeinheit ist Kryptographie mit einem seltsamen Flair von Verschwörung15 und zweifelhaften Geheimnissen verbunden. Diese Wahrnehmung wird sogar in der politischen Debatte genutzt, zum Beispiel zur Rechtfertigung der Überwachung und Entschlüsselung durch 14 https://ec.europa.eu/info/law/better-regulation/initiatives/com-2017-477_en. 15 Simon Singh, Geheime Botschaften (Die Kunst der Verschlüsselung von der Antike bis in die Zeiten des Internet), dtv, 14. Aufl. 2017.
196
Technologiewandel am Beispiel Internet der Dinge
die Behörden mit dem Argument, dass rechtstreue Bürger nichts zu verbergen hätten16. Dabei wird zuweilen dem Aspekt der Überwachung Vorrang vor dem Aspekt des Schutzes eingeräumt. Kryptographie ist allerdings derzeit die einzige Möglichkeit, digitale Wer- 20 te effizient abzusichern und damit die Internetgesellschaft aufrecht zu erhalten17. Webseiten, Bankkonten, Identity Management – alles hängt von der Qualität der kryptographischen Algorithmen und Implementierungen ab. Qualität wird durch die mathematische Komplexität von zugrundeliegenden Problemen und durch die Implementierung durch die Hersteller bestimmt. Was die Algorithmen betrifft, leben wir in einer Monokultur, die von der 21 NP-Vollständigkeit18 abhängt. Wir wissen, dass Quantencomputer dies in Frage stellen können. Forschung und Umsetzung, die allerdings auf größere Institutionen beschränkt sind, geben uns eine gewisse Sicherheit, dies unter Kontrolle zu haben, was das Timing und die Notwendigkeit betrifft, auf Post-Quantum19 zu wechseln. Wir können uns leichter einem Problem stellen, wenn wir uns das Prob- 22 lem vorstellen können.
16 http://www.daten-speicherung.de/index.php/ueberwachungsgesetze/. 17 https://www.it-finanzmagazin.de/kartenzahlungen-verschluesseln-hardwarekryptografie-hsm-im-zahlungsverkehr-31384/. 18 https://www.inf-schule.de/grenzen/komplexitaet/rundreiseprobleme/station_npvollstaendigeprobleme. 19 https://www.security-insider.de/die-zukunft-der-kryptographie-im-zeitalterder-quanten-a-645548/.
197
Reinhard Posch
23 Die Situation wird deutlich schwieriger, wenn wir mit einem Problem konfrontiert werden, das zuvor nicht im Bereich unserer Vorstellungen lag. Im Grunde könnte dies passieren, wenn es einen Fehler in der Theorie bzw. Annahme gab oder wenn das Modell, eine spezielle Theorie zu haben, die – wenn technisch richtig umgesetzt – zu einem guten Produkt führte, nicht mehr anwendbar ist. 24 Wir müssen mit Annahmen – z. B. der Linearität der Zeit – arbeiten, wenn es um die Kritikalität von Systemen und Angriffen geht. Auch wenn es sehr selten vorkommt, dass diese Annahmen überarbeitet werden müssen, passiert dies und hat dann schwerwiegende Folgen. 25 Als Paul C. Kocher im Jahr 1996 seinen Timing-Angriff20 auf RSA usw. entwickelte, fand er keinen Fehler in der Theorie, aber in der Annahme, man könne keine Informationen extrahieren, ohne Speicher oder Anweisungen anzutasten. Side-Channel-Angriffe machten eine ganze Generation von Smartcards obsolet, selbst wenn sie zuvor physisch perfekt abgesichert schienen. Die spezifische Eigenschaft des Timing-Angriffs besteht darin, dass keine Standardverarbeitungsszenarien angegriffen werden. Gegenmaßnahmen sind daher nur durch Änderung des Designs möglich. 26 Die differentielle Analyse, die mit der Idee von Paul Kocher berühmt wurde und bald vom Timing auf andere Seitenkanaleffekte ausgedehnt wurde, forderte die Industrie heraus, hat aber nur einen begrenzten Bereich betroffen, da Smartcards in Reichweite und Anwendung zu dieser Zeit noch begrenzt waren. 27 Mehr als 20 Jahre später, 2018, schockierten SPECTRE und MELTDOWN21 (https://meltdownattack.com/) die Intel-Welt, da die seit über 15 Jahren geltende Annahme der Branche, was vorausschauende Verarbeitung und damit Parallelisierung betrifft, eine grundlegende Überarbeitung benötigt. Im Gegensatz zum Timing-Angriff auf Schlüssel beeinflusst MELTDOWN alle Situationen, in denen angenommen wird, dass Informationen sicher weggesperrt werden, indem sie in einem eigenen Prozess gehalten werden. Dies reicht vom Laptop, der JavaScript von einer Webseite ausführt, bis zu virtuellen Maschinen, die in Clouds ablaufen, die auf demselben Kernel virtualisiert sind. 28 Wie beim Timing-Angriff wird das Standardverhalten wie vorgesehen belassen und nicht modifiziert, um Speicherinformationen abzurufen, die 20 https://de.wikipedia.org/wiki/Seitenkanalattacke. 21 https://meltdownattack.com/.
198
Technologiewandel am Beispiel Internet der Dinge
z. B. nur Benutzern mit Superuser-Zugriffsrechten zur Verfügung stehen sollten. Diese Angriffe extrahieren quasi wie Außerirdische nicht nur theoretisch und ohne einzugreifen solche Informationen, sondern es erfolgt dies mit ziemlich hoher Geschwindigkeit bei minimalen Kosten. Ein De-facto-Monopol des zugrundeliegenden Prozessorentwurfs steigert die Bedeutung dieses Aspektes und dessen Größenordnung. V. PC – Smartphone – IoT Device Verantwortung kann man nur dort zuordnen, wo auch Kontrolle möglich 29 ist. Dazu müssen wir aber die Grundzüge der Systeme verstehen und diese sind deutlich unterschiedlich, je nachdem, ob wir von PCs, Smartphones oder gar dem Internet der Dinge sprechen. Diese Systeme unterschieden sich wesentlich danach, wer die Kontrolle wahrnehmen kann, in welchen Zyklen danach Updates und Veränderung stattfinden und wie diese kommuniziert werden. 1. PCs und Laptops Die Verantwortung für Hardware und Software haben hier die jeweiligen 30 Hersteller und übergeben diese mit dem Zeitpunkt des Verkaufs bzw. der Inbetriebnahme an den Benutzer. Sofern es sich nicht um Sicherheitslücken oder Fehler der Benutzer handelt, bleibt die Kontrolle im Umfeld der Benutzer bestehen. 2. Smartphones und Tablets Die Situation bei Smartphones und Tablets ist demgegenüber deutlich 31 unübersichtlicher. Ein Teil der Kontrolle geht mit Übergabe in den Bereich des Benutzers über. Die Schnittstellen zu Systemhersteller, Handyhersteller, APP-Plattform und APP-Hersteller sowie Netzprovider sind allerdings sehr vielfältig und üben abseits des Bewusstwerdens durch Benutzer Kontrolle aus, da der Nutzen dieser Geräte in Offlinesituationen deutlich eingeschränkt ist. Damit stellt sich aber auch die Frage der Zuordnung von Verantwortung. Auch wenn die Verarbeitungen – Browser, Mail, Dokumente … – ähnlich aussehen, haben diese deutlich andere Eigenschaften. Wie eingangs angemerkt, verschwimmt hier der Session-Begriff.
199
Reinhard Posch
3. IoT Devices 32 Die Situation beim Internet der Dinge ist deutlich anders als bei den anderen Szenarien, da in diesem Fall die Rolle des Benutzers anders ist, was die Kontrolle über das IT-System betrifft. Diese Kontrolle haben in aller Regel die Hersteller und die Betreiber der Infrastruktur, nicht die Benutzer. 33 Aus dieser Gegenüberstellung ist die Unausgewogenheit bei der generellen Zuordnung der Verantwortung an die Benutzer, wie diese derzeit zumindest empfunden wird, offensichtlich. Sofern dabei keine Änderung stattfindet, wird es auch kaum Gründe für eine deutliche Verbesserung geben. Dies trifft vor allem auch Geräte, die in die EU importiert werden. VI. Wir brauchen robuste Kommunikationsstrukturen 34 Kommunikationsstrukturen können generell zur Stabilität und zum risikoarmen Einsatz beitragen. Einkommender Internetverkehr ist da ein besonders kritischer Bereich. Auch wenn es oft nur um einzelne Ports geht, wird der Benutzer der dahinterliegenden Rechner de facto zum Serviceanbieter und muss sich sicherheitstechnisch entsprechend aufstellen. 35 Andererseits zeigt sich in der Praxis, dass es typischen Benutzern nicht zumutbar ist, Systeme mit der Sorgfalt eines Serviceproviders und mit den dafür notwendigen Sicherheitstechnologien zu betreiben. Die Probleme können in den Services, in den zugrundeliegenden Systemen oder auch in der Kombination bestimmter Situationen bestehen. Hier müssen wir von den Strukturen und Schutzmechanismen der mobilen Anwendungen lernen. Kommunikation sollte aus vielerlei Gründen besser indirekt erfolgen und damit von allen betroffenen Geräten der Benutzer nur ausgehend stattfinden. Anstatt auf eine Anforderung zu warten, sollten Benutzergeräte auf eine Antwort von einem sicherheitstechnisch professionellen Service warten. Dort kann der anfordernde Benutzer bzw. Prozess seinen Request hinterlegen. 36 Geeignete Strategien werden nicht nur in den aufgezeigten speziellen Beispielen benötigt, sondern das Thema Security by Design sowie Datenschutz by Design muss generelles Gedankengut für Hersteller werden, die dann auch entsprechende Vorteile bei der Vermarktung als treibende Kraft, dies auch umzusetzen, benötigen. Dies ist nicht nur eine Zusatzanforderung, die aus Datenschutz und Sicherheit entsteht, sondern auch eine Chance für höhere Qualität aus europäischen Unternehmen.
200
DGRI 3-Länder-Treffen 2017 Länderbericht Deutschland Innsbruck, 30.6.2017 Isabell Conrad* A. Schutz von Big Data und Schutz vor Big Data: Datenbankenschutz, autonome Systeme, Online-Plattformen, Online-Handel I. Autonome Systeme (Cyber-physische Systeme): Zulassung autonomer Fahrzeuge II. Schutz von Datenbanken: BGH v. 10.3.2016 – I ZR 138/13 III. Kartellrechtliche Relevanz von Datenschutzverstößen von Online-Plattformen IV. Wettbewerbsrechtliche Bewertung so genannter AdBlocker V. Dschungel neuer Pflichtinformationen im Online-Handel: ODRVerordnung und VSBG VI. Einwilligung bei E-Mail-Werbung und das Anlegen einer Sperrdatei: BGH v. 14.3.2017 – VI ZR 721/15 VII. Keine Störerhaftung für passwortgesichertes WLAN: BGH v. 24.11.2016 – I ZR 220/15
B. Berufsgeheimnis, Datenschutz, IT-Sicherheit I. Gesetzesentwurf zu § 203 StGB II. Neues Gesetz zur TK-Überwachung bei OTT III. Gesetz zur Anpassung des Datenschutzrechts an die DatenschutzGrundverordnung IV. Videoüberwachungsverbesserungsgesetz V. IT-Sicherheitsgesetz und BSIKritisV C. IT-Vertragsrecht: Agile Projektmethoden, Software-Gebrauchthandel, Open Source Software, AGB-Recht I. Werkvertrag bei Scrum-Projekt: LG Wiesbaden v. 30.11.2016 – 11 O 10/15 II. Erschöpfungsgrundsatz, Vertrieb von Product Keys III. Open Source Software
A. Schutz von Big Data und Schutz vor Big Data: Datenbankenschutz, autonome Systeme, Online-Plattformen, Online-Handel I. Autonome Systeme (Cyber-physische Systeme): Zulassung autonomer Fahrzeuge Ein Anwendungsfall von Big Data sind autonome Fahrzeuge. Die Frage 1 der Zurechnung der Entscheidungen autonomer Systeme zu einzelnen
* Rechtsanwältin Isabell Conrad, SSW Schneider Schiffer Weihermüller, München.
201
Isabell Conrad
Personen, aber auch die Frage, ob autonome Systeme geschäfts- und deliktsfähige Rechtssubjekte sein können, beschäftigt die Literatur seit längerem1. Im Zusammenhang mit autonomen Fahrzeugen ist durch eine Änderung des Wiener Übereinkommens über den Straßenverkehr die Zulassung solcher Fahrzeuge neu geregelt worden2. Die Änderung des Wiener Übereinkommens wurde von der Arbeitsgruppe Straßenverkehrssicherheit bei der Wirtschaftskommission der Vereinten Nation für Europa erarbeitet. Sie ist für Deutschland am 23.3.2016 in Kraft getreten3. In diesem Zusammenhang wurde in Deutschland am 16.6.2017 das Straßenverkehrsgesetz geändert. Es wurden neue Vorschriften zum hochoder vollautomatisierten Fahren eingeführt. Datenschutzrelevanz haben besonders § 63a StVG und § 32 Abs. 1 Nr. 8 StVG n. F. 2 Hintergrund ist zum einen die Frage des Zusammenwirkens zwischen dem Fahrzeugführer und dem Kraftfahrzeug mit automatisierten Fahrfunktionen und damit auch die Dokumentation der entsprechenden Fahrsituation im Falle eines Unfalls zum Zwecke der Verschuldenszurechnung der beteiligten Akteure, sprich Fahrzeugführer und Fahrzeughersteller. Zum anderen wurde die Zweckbestimmung der Fahrzeugregister in § 32 StVG n. F. ergänzt. Nach erheblicher Kritik4 am Regierungsentwurf der Gesetzesänderung, bei dem v. a. die Vereinbarkeit mit der DSGVO sehr fraglich war, sind erhebliche Änderungen am Wortlaut der neuen Vorschriften erfolgt. Allerdings ist z. B. bei der Löschfrist in § 63a Abs. 4 StVG n. F. immer noch der Anknüpfungspunkt für den Fristbeginn unklar. § 63a StVG n. F. lautet nun: 3 § 63a Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion (1) Kraftfahrzeuge gemäß § 1a speichern die durch ein Satellitennavigationssystem ermittelten Positions- und Zeitangaben, wenn ein Wechsel der Fahrzeugsteuerung zwischen Fahrzeugführer und dem hoch- oder vollautomatisierten System erfolgt. Eine derartige Speicherung erfolgt auch, wenn der Fahrzeugführer durch das System aufgefordert wird, die Fahrzeugsteuerung zu übernehmen oder eine technische Störung des Systems auftritt.
1 Taeger, NJW 2016, 3764 m.w.N. 2 BT-Drucks. 243/16 v. 6.5.2016. 3 https://www.bundesregierung.de/Content/DE/Artikel/2016/04/2016-04-13wiener-uebereinkommen.html (Stand 4.11.2016). 4 DAV-Stellungnahme Nr. 24/2017 v. März 2017.
202
Länderbericht Deutschland
(2) Die gemäß Absatz 1 gespeicherten Daten dürfen den nach Landesrecht für die Ahndung von Verkehrsverstößen zuständigen Behörden auf deren Verlangen übermittelt werden. Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden. Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit dem durch diese Behörden geführten Verfahren der eingeleiteten Kontrolle notwendig ist. Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten. (3) Der Fahrzeughalter hat die Übermittlung der gemäß Absatz 1 gespeicherten Daten an Dritte zu veranlassen, wenn 1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und 2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. Absatz 2 Satz 3 findet entsprechend Anwendung. (4) Die gemäß Absatz 1 gespeicherten Daten sind nach sechs Monaten zu löschen, es sei denn, das Kraftfahrzeug war an einem in § 7 Absatz 1 geregelten Ereignis beteiligt; in diesem Fall sind die Daten nach drei Jahren zu löschen. (5) Im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis können die gemäß Absatz 1 gespeicherten Daten in anonymisierter Form zu Zwecken der Unfallforschung an Dritte übermittelt werden. II. Schutz von Datenbanken: BGH v. 10.3.2016 – I ZR 138/13 Geografische Daten, die von einem Dritten aus einer topografischen 4 Landkarte herausgelöst werden, um eine andere Landkarte herzustellen und zu vermarkten, stellen unabhängige Elemente einer Datenbank i. S. v. § 87a Abs. 1 S. 1 UrhG dar. Der BGH5 behandelte auch die Frage der Bereitstellung von sachdienlichen Informationen gegenüber den Kunden des die Daten verwertenden Unternehmers und die Frage der Unterlassungsverpflichtung bzgl. der Vervielfältigung, Verbreitung und öffentlichen Wiedergabe von staatlichem Kartenmaterial.
5 BGH v. 10.3.2016 – I ZR 138/13, GRUR 2016, 930 = MMR 2016, 689 – TK 50 II.
203
Isabell Conrad
III. Kartellrechtliche Relevanz von Datenschutzverstößen von OnlinePlattformen 5 Seit Jahren ist Big Data eines der Buzz-Wörter der IT-Branche und ein Oberbegriff für verschiedene Technologien (etwa In-memory-Datenbanken, Hadoop, Complex-Event-Processing etc.), denen gemeinsam ist, dass neue Dimensionen von Datenmengen aus unterschiedlichsten Quellen und verschiedensten Formaten ohne Zeitverlust verarbeitet und ausgewertet werden sollen. Auch SAP ist in die Technologie eingestiegen und hat mit SAP HANA eine Big Data-Datenbank auf den Markt gebracht, die selbst für klassische SAP-Anwender Nutzen bringen soll, vor allem im Bereich E-Commerce. HANA erfordert spezielle, teure Hardware und auch große Anwender haben häufig nicht die geeigneten IT-Mitarbeiter, um HANA in-house betreiben zu können. Daher ist HANA nicht selten mit einem IT-Outsourcing (Rechenzentrumsbetrieb/Hosting) verbunden. Das Ergebnis der Entwicklung ist, dass sich im ERP- und Retail-Bereich bei Software-Einführungsprojekten zunehmend die Themen Big-Data und Cloud stellen. 6 (Big) Data und Plattformen sind zunehmend im Fokus kartellrechtlicher Untersuchungen: 1. Pressemitteilung v. 5.10.2015: Konrad Ost, Vizepräsident des Bundeskartellamtes: „Die Kartellgesetzgebung hat ihren historischen Ursprung in der Sorge vor übermäßiger wirtschaftlicher und politischer Macht von großen Industrieunternehmen und Kartellen. Mit den Plattformen der digitalen Ökonomie – Google, Amazon, Facebook, Apple und Co. – sehen wir heute neue Konzentrationen wirtschaftlicher Macht von gesamt-gesellschaftlicher Bedeutung. Wir bewegen uns hier im Spannungsfeld von großen Innovationssprüngen und der rasanten Dynamik der digitalen Märkte auf der einen Seite sowie starken Konzentrationstendenzen durch Netzwerkeffekte, großen Datenbeständen und erheblicher Finanzkraft auf der anderen. Dies wirft vielfältige Fragen auf. Neben dem Datenschutz-, Urheber-, Steuer- und Verbraucherschutzrecht ist das Kartellrecht ein wichtiger Baustein zu deren Bewältigung.“6 7 2. Pressemitteilung v. 2.3.2016: Bundeskartellamt eröffnet Verfahren gegen Facebook wegen Verdachts auf Marktmachtmissbrauch durch Datenschutzverstöße:
6 http://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2015/05_10_2015_AKK.html.
204
Länderbericht Deutschland
„Die Behörde geht dem Verdacht nach, dass Facebook durch die Ausgestaltung seiner Vertragsbestimmungen zur Verwendung von Nutzerdaten seine mögliche marktbeherrschende Stellung auf dem Markt für soziale Netzwerke missbraucht. […] Marktbeherrschende Unternehmen unterliegen besonderen Pflichten. Dazu gehört es auch, angemessene Vertragsbedingungen zu verwenden, soweit diese marktrelevant sind. Für werbefinanzierte Internetdienste wie Facebook haben die Nutzerdaten eine herausragende Bedeutung. Gerade deshalb muss auch unter dem Gesichtspunkt des Missbrauchs von Marktmacht untersucht werden, ob die Verbraucher über die Art und den Umfang der Datenerhebung hinreichend aufgeklärt werden.“7 3. Pressemitteilung v. 10.5.2016: Französische und deutsche Wettbe- 8 werbsbehörde veröffentlichen gemeinsames Papier (Competition Law and Data, 10th May, 2016)8 zu Daten und ihren Auswirkungen auf das Wettbewerbsrecht: „Für die Wettbewerbsbehörden weltweit ist es wichtig, beurteilen zu können, warum, wie und in welchem Umfang Daten zu einem Instrument von Marktmacht werden können. Das Papier bietet einen umfassenden Überblick über die Fallpraxis und die Literatur zu diesem Thema. Es ermöglicht Marktteilnehmern, Interessengruppen und den Wettbewerbsbehörden, die wichtigsten Faktoren und Schlüsselfragen zu identifizieren, die im Hinblick auf die Relevanz von Daten im Rahmen der Kartellrechtsanwendung zu beachten sind. Insbesondere zwei Aspekte sind dabei von besonderer Relevanz: 1. Ob auch Wettbewerber die entsprechenden Daten einfach beschaffen können und 2. welche Bedeutung Menge und Breite der Daten und Datensätze zukommt. Das Papier zeigt auch die Notwendigkeit auf, bei der konkreten Fallarbeit einen differenzierten Ansatz zu verfolgen und eine einzelfallorientierte Analyse durchzuführen.“9 IV. Wettbewerbsrechtliche Bewertung so genannter AdBlocker 1. LG Hamburg v. 25.11.2016 – 315 O 293/15 (Spiegel Online): Kein Er- 9 folg verschiedener Zeitungen gegen AdBlocker auf ihren Webseiten vorzugehen
7 http://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2016/02_03_2016_Facebook.html?nn=3591568. 8 http://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Berichte/ Big%20Data%20Papier.pdf?__blob=publicationFile&v=2. 9 http://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2016/10_05_2016_Big%20Data.html.
205
Isabell Conrad
–
Kein Anspruch auf Unterlassung wg. Verbot der gezielten Behinderung nach §§ 8, 3, 4 Nr. 4 UWG10 „Die Zurverfügungstellung des Werbeblockers A. P. durch die Beklagte [stellt] keine gezielte Behinderung der Klägerin dar. […] [43] Im Ergebnis überwiegen unter Berücksichtigung der mittelbar geltenden Grundrechte die Interessen der Internetnutzer und der Beklagten gegenüber den Interessen der Klägerin. Die Internetnutzer haben ein schutzwürdiges Interesse an der Abwehr unerwünschter Werbung, an Schutz vor Schadprogrammen sowie an der Kontrolle über ihre Daten. Diese Interessen haben durch den Gesetzgeber diverse Ausformungen in unterschiedlichen Gesetzen erfahren. […] Die Nutzung eines Werbeblockers ermöglicht es den Internetnutzern zudem, personalisierte Werbung zu unterdrücken und das Aufzeichnen ihres Verhaltens zu verhindern. Als Ausprägung des grundrechtlich geschützten informationellen Selbstbestimmungsrechts können Internetnutzer allein darüber entscheiden, welche Daten sie von sich preisgeben. Zudem erfolgt die Blockierung der Werbung ausschließlich in der Sphäre des Internetnutzers. Dieser kann in seiner Sphäre selbst bestimmen, welche Inhalte er wahrnehmen will. Dies ist über die negative Informationsfreiheit durch Art. 5 I 1 GG geschützt. Das Programm der Beklagten stellt somit ein Instrument dar, um die Privatautonomie der Internetnutzer zu stärken. Die Beklagte hat zudem ein Interesse daran, ihr erfolgreiches Geschäftsmodell fortzuführen. Dies ist durch die Berufsfreiheit nach Art. 12 GG geschützt. [44] Diesem Ergebnis widerspricht auch nicht der Umstand, dass die Verbreitung von Presseerzeugnissen einschließlich der Akquise von mittelbarer Finanzierung durch Werbung durch Art. 5 I 2 GG geschützt ist (BVerfGE 21, 272, 278). […] Die Medienfreiheit vermittelt demnach nicht die Befugnis, dem Internetnutzer unerwünschte Werbung oder sonstige Inhalte aufzudrängen (OLG Köln v. 24.6.2016 – 6 U 149/15, GRUR 2016, 1082, 1086 Rz. 46 – A. P.). Es besteht keine Pflicht des Internetnutzers, Werbung zu rezipieren. Eine solche Pflicht besteht weder bei werbefinanzierten und somit für den Konsumenten kostenlosen Inhalten, noch wenn die Werbung der Finanzierung wichtiger Informationsmedien dient. Zudem ist die Schutzwürdigkeit der Klägerin von vornherein eingeschränkt. Die Klägerin kann Internetnutzer, die einen Werbeblocker aktiviert haben, vom Besuch ihrer Webseite ausschließen. Da die Klägerin die Wahrnehmung ihrer Inhalte nicht durch technische Schutzmaßnahmen absichert, sondern ohne Einschränkung frei zugänglich ins Internet stellt, muss die Klägerin auch solche Nutzungshand10 Siehe auch http://www.lto.de/recht/nachrichten/n/lg-hamburg-urteil-315o29315ad-block-eyeo-spiegel-online-klage-erfolglos/.
206
Länderbericht Deutschland
lungen dulden, welche die von ihr beabsichtigte Finanzierung durch Werbung unterlaufen (BGH v. 22.6.2011 – I ZR 159/10, GRUR 2011, 1018, 2024 Rz. 69 – Automobil-Onlinebörse; BGH v. 17.7.2003 – I ZR 259/00, GRUR 2003, 958, 961 – Paperboy). [45] Diese Konstellation entspricht im Ergebnis den Erwägungen des Bundesgerichtshofs im Fall zur Fernseh-Fee (BGH v. 24.6.2004 – I ZR 26/02, GRUR 2004, 877 – Werbeblocker). Sowohl bei Werbeblockern für das Fernsehen als auch bei solchen für das Internet geht es nicht um unmittelbare Einwirkungen auf ein Produkt. Solange eine Abwehrmaßnahme gegen Werbung vom Nutzer selbst initiiert wird, fehlt es an einer gezielten Behinderung desjenigen, der lediglich ein entsprechendes technisches Hilfsmittel zur Verfügung stellt. Trotz Voreinstellungen verbleibt die eigenständige Entscheidung, was unter welchen Voraussetzungen geblockt werden soll, beim Internetnutzer. Dabei kommt es auch nicht darauf an, welcher Anteil der Nutzer tatsächlich Änderungen an den Voreinstellungen vornimmt. Maßgeblich ist lediglich die ausreichend transparent dargestellte Möglichkeit, diese Einstellungen auch verändern zu können. [46] Diesem Ergebnis widerspricht ebenfalls nicht, dass die Beklagte eine teilweise kostenpflichtige Aufnahme in ihre Whitelist und dadurch eine Freischaltung der Werbung anbietet. Es sind keine Anhaltspunkte ersichtlich, dass in diesem Verhalten eine gezielte Behinderung der Klägerin liegt.“ – Ein Anspruch auf Unterlassung folgt auch nicht aus §§ 8, 3, 4a I UWG 10 „[49] […] Jedenfalls hat die Beklagte ihre Position nicht in einer Weise ausgenutzt, die die Fähigkeit der Klägerin zu einer informierten Entscheidung wesentlich einschränkt (A.A OLG Köln v. 24.6.2016 – 6 U 149/15, GRUR 2016, 1082, 1088 Rz. 61 – A. P.). Weder wurde die Klägerin zu einem irrationalen Verhalten verleitet noch wird ihr Urteilsvermögen beeinträchtigt. Die Rationalität der Entscheidung der Klägerin tritt durch die Ausübung der Position der Beklagten nicht vollständig in den Hintergrund. Im Gegenteil hat sich die Klägerin gerade dem Druck der Beklagten entzogen und die Aufnahme in die Whitelist nicht beantragt. Zudem kann die Klägerin der gegebenen Situation mit einer Vielzahl von verschiedenen Reaktionsmöglichkeiten begegnen. Die Klägerin kann unter anderem Internetnutzer mit aktiviertem Werbeblocker vollständig vom Besuch ihrer Internetpräsenz ausschließen oder zumindest deren Nutzbarkeit in unterschiedlicher Weise einschränken. Das einige dieser Möglichkeiten eventuell wirtschaftlich unattraktiv sind, ist in Bezug auf das Vorliegen einer Entscheidungsfreiheit grundsätzlich nicht beachtlich. 207
Isabell Conrad
[50] Hinzu kommt, dass das Angebot zur Freischaltung durch die Aufnahme in die Whitelist auch deshalb nicht geeignet ist, Druck auf die Klägerin auszuüben, da die Beklagte der Klägerin nur eine weitere Möglichkeit der Verbreitung von Werbung eröffnet und diese im Gegensatz gerade nicht einschränkt. Eröffnet die Beklagte einem Werbetreibenden, gegenüber dem rechtmäßigen Zustand eines Werbeblockers ohne Whitelist, die zusätzliche Möglichkeit der Generierung weiterer Werbeeinnahmen durch die Freischaltung, so stellt dies keine Ausübung von Druck dar. Die Beklagte bietet vielmehr eine Lösung an, durch die der Werbetreibende im Ergebnis mehr Einnahmen erzielen kann als vorher. Die Klägerin ist durch das Angebot der Aufnahme in die Whitelist wirtschaftlich besser gestellt als bei vollständiger Blockierung der Werbung durch das Programm der Beklagten.“ 11 –
Kein Unterlassungsanspruch wg. Vorliegen einer allgemeinen Marktstörung „[51] […] Im Ergebnis muss das Verhalten damit geeignet sein, eine bestimmte Angebotsform vom Markt zu verdrängen (OLG Köln v. 24.6.2016 – 6 U 149/15, GRUR 2016, 1082, 1087 Rz. 48 – A. P.). Dies ist vorliegend nicht gegeben. Es ist nicht ersichtlich, dass durch das Programm der Beklagten journalistische Beiträge im Internet verdrängt werden. Zwar beeinträchtigt A. P. das herkömmliche Finanzierungsmodell der Klägerin. Es fehlt aber an Anhaltspunkten dafür, dass dadurch journalistische Angebote im Internet nicht mehr realisierbar sind.“
12 – Kein Unterlassungsanspruch aus §§ 33, 18, 19 GWB „[53] […] Vielmehr ist der Vertrieb eines Werbeblockers rechtlich grundsätzlich zulässig. [54] […] Die Klägerin wird nicht ohne sachlichen Grund anders behandelt als gleichartige Unternehmen. […] [55] Es ist nicht ersichtlich, dass die erfolgsbezogene Beteiligung an den zusätzlichen Werbeeinnahmen in Höhe von 30 Prozent eine überhöhte Entgeltforderung darstellt. Dieses Abrechnungsmodell ist im Internet durchaus verbreitet.“ 13 –
Kein Unterlassungsanspruch aus § 823 BGB
14 2. Teilerfolg für Springer Verlag: OLG Köln v. 24.6.2016 – 6 U 149/15 Whitelisting (Blockierung wird nach Zahlung einer Vergütung des Werbenden aufgehoben) ist aggressive Geschäftspraxis i. S. d. neuen § 4a Abs. 1 S. 1 UWG11.
11 Siehe inzwischen aber zu Ad-Blockern: Berufung OLG München v. 17.8.2017 – U 2225/15 Kart (1. Instanz LG München I v. 27.5.2015 – 37 O 11673/14): Ad-Blocker sind kartell-, wettbewerbs- und urheberrechtlich zulässig. „Der
208
Länderbericht Deutschland
V. Dschungel neuer Pflichtinformationen im Online-Handel: ODR-Verordnung und VSBG Am 9.1.2016 trat die unmittelbar geltende Verordnung (EU) Nr. 524/2013 15 über die Online-Streitbeilegung in Verbraucherangelegenheiten (kurz: „ODR-Verordnung“) vollständig in Kraft. Zudem wurde am 25.2.2016 das deutsche Verbraucherstreitbeilegungsgesetz (VSBG) im Bundesgesetzblatt veröffentlicht, das die „alternative Streitbeilegung“ thematisiert. Das VSBG setzt die EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (AS-RL 2013/11/EU) um. Gemäß ODR-Verordnung sind seit dem 9.1.2016 grds. alle Online-Händ- 16 ler, die Waren oder Dienstleistungen zumindest auch an Verbraucher vertreiben, verpflichtet, einen Link auf eine von der EU-Kommission bereitgestellte Streitbeilegungsplattform (sogenannte „OS-Plattform“) auf der Website vorzuhalten. Da die von den Gerichten im Zusammenhang mit der Wirksamkeit von AGB aufgestellten Hürden hoch sind, wenn der Online-Händler B2C-Geschäfte ausschließen will, hat die neue Pflicht einen sehr weiten Anwendungsbereich. Ausnahmen gelten jedoch für bestimmte Wirtschaftsbereiche (z. B. für Energieversorger). Die OnlineStreitbeilegung (OS) bzw. OS-Plattform gemäß ODR-Verordnung ist ein EU-Projekt. Auf der OS-Plattform erhalten Verbraucher Informationen und können Beschwerden elektronisch einreichen. Der Vertragspartner wird über die Beschwerde informiert und die Parteien können einen Streitschlichter einsetzen, der ihnen über die Plattform angeboten und ggf. vermittelt wird. Die OS-Plattform ist also eine Informations- und Kommunikationsplattform. „Alternative Streitbeilegung“ (AS) ist die über die OS-Plattform ver- 17 mittelte Streitschlichtung gemäß den Rahmenbedingungen der AS-RL 2013/11, die der deutsche Gesetzgeber im VSBG umgesetzt hat. Dort sind Vorgaben zum Verfahren der „alternativen Streitbeilegung“ geregelt. Seit April 2016 genügt ein einfacher Link auf die OS-Plattform nicht 18 mehr. Art. 14 Abs. 2 ODR-Verordnung regelt, dass Shop-Betreiber, die sich verpflichtet haben oder verpflichtet sind, eine oder mehrere ASStellen für die Beilegung von Streitigkeiten mit Verbrauchern zu nutzen, nach § 18 I GWB sachlich oder örtlich relevante (Angebots-)Markt ist weder der Markt der Werbeblocker noch der Markt der Freischaltung von Onlinewerbung, sondern der Markt des Zugangs zu Internetnutzern für Werbung in Deutschland“. Dort habe die Beklagte keine marktbeherrschende Stellung. Das Whitelisting schränke zwar die Handlungsfreiheit der Webseitenbetreiber ein; die Freischaltung entsprechend den Kriterien der Beklagten ist aber als Teil einer Vertikalvereinbarung nach der Vertikal-GVO freigestellt.
209
Isabell Conrad
die Verbraucher über die Existenz der OS-Plattform und die Möglichkeit, diese für die Beilegung ihrer Streitigkeiten zu nutzen, informieren müssen. Das VSBG regelt, unter welchen Voraussetzungen sich Händler verpflichten können bzw. dazu verpflichtet sind, die Alternative Streitbeilegung zu nutzen. 19 Daneben sehen §§ 36, 37 VSBG ab 1.2.2017 weitere Informationspflichten vor. Dabei ist zwischen den allgemeinen Informationspflichten und Informationspflichten nach Entstehung der Streitigkeit zu unterscheiden. Im Unterschied zu den Pflichten aufgrund der ODR-Verordnung erfassen sie auch rein stationäre Händler. Erleichterungen treffen lediglich Unternehmen, die am 31.12. des jeweils vorangehenden Jahres nicht mehr als zehn Personen beschäftigt hatten und auch nicht zur Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle gesetzlich verpflichtet sind oder sich einer solchen Schlichtung freiwillig unterworfen haben. Selbst solche Unternehmen haben die Verpflichtungen aber zumindest teilweise zu erfüllen. Unternehmer, die allgemeine Geschäftsbedingungen verwenden, müssen Verbraucher leicht zugänglich, klar und verständlich davon in Kenntnis setzen, inwieweit sie bereit oder verpflichtet sind, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen. Die Information muss „zusammen mit den Allgemeinen Geschäftsbedingungen“ gegeben werden (§ 36 Abs. 1 Nr. 1 i. V. m. Abs. 2 Nr. 2 VSBG). 20 Nach der Gesetzesbegründung zum VSBG hat der Verbraucher die Möglichkeit, Ansprüche wegen der Verletzung vorvertraglicher oder vertraglicher Pflichten geltend zu machen. Dem Händler drohen daher u. U. Schadensersatzansprüche des Verbrauchers. Zudem können Verbraucherschutzverbände die Einhaltung der Informationspflichten über das UKlaG durchsetzen. VI. Einwilligung bei E-Mail-Werbung und das Anlegen einer Sperrdatei: BGH v. 14.3.2017 – VI ZR 721/15 21 Sachverhalt: Der Kläger hatte eine Software (Freeware Computerprogramm) im Internet heruntergeladen. Um diese zu downloaden, musste er u. a. seine E-Mail-Adresse angeben und einwilligen, Werbe-Mails von 25 benannten Firmen per Double-Opt-In Verfahren zu erhalten. Nachdem der Kläger den Nutzungsbedingungen zugestimmt hat, erhielt er wiederum eine E-Mail, die auf das Einverständnis zur werblichen Verwendung der E-Mail-Adresse hinwies:
210
Länderbericht Deutschland
„Sobald der Link bestätigt wird startet der Download und Sie stimmen den unter www.f..-a..de hinterlegten Nutzungsbedingungen zu, die auch ein Einverständnis in werbliche Informationen von uns sowie den F. A. Sponsoren enthalten.“ In den AGB fand sich folgende Passage: „Mit der Angabe seiner persönlichen Daten erklärt der Nutzer sein Einverständnis, dass er von F. M. Limited und den hier genannten Sponsoren Werbung per E-Mail an die vom Nutzer angegebene E-Mail-Adresse erhält. Der Nutzer kann der werblichen Nutzung seiner Daten durch F. M. Limited jederzeit durch eine E-Mail an [email protected] widersprechen“. Anschließend erhielt er in der nachfolgenden Zeit Werbung durch E-Mails, welche im Auftrag des Beklagten versendet wurde. Der Kläger mahnte den Beklagten infolgedessen ab und forderte die Löschung seiner Daten, insbesondere seiner E-Mail-Adresse. Daraufhin versicherte der Beklagte, dass der Kläger keine Werbung per E-Mail mehr erhalten würde. Jedoch verzichtete der Beklagte darauf, eine Unterlassungserklärung abzugeben. Dies begründete er damit, dass der Kläger ihm die Erlaubnis zum Versand von Werbe-E-Mails erteilt hatte. 22
Entscheidung: Der BGH führte aus, dass „aus der vorformulierten Einwilligungserklärung nicht hinreichend klar hervorgeht, für welche konkreten Produkte die Unternehmen werben dürfen. Die Einwilligungserklärung hält einer Kontrolle nach den §§ 305 ff. BGB nicht stand. Sie ist gemäß § 307 Abs. 1 Satz 1 und 2, Abs. 3 Satz 2 BGB als unangemessene Benachteiligung des Klägers unwirksam, denn sie verstößt gegen das Transparenzgebot.“ Zum Führen einer E-Mail-Sperrdatei stellte er fest: „Dabei kann die Interessenabwägung grundsätzlich auch dann zugunsten der verantwortlichen Stelle ausfallen, wenn der Betroffene der Datenverarbeitung (ausdrücklich) widersprochen hat. Es ist ein berechtigtes Interesse der Beklagten, ihre sich aus dem bestehenden Unterlassungsanspruch ergebende Verpflichtung zur Folgenbeseitigung zu erfüllen. Daher erscheint es vorliegend nicht ausgeschlossen, dass eine zur Wahrung dieses berechtigten Interesses der Beklagten erforderliche und nach der gebotenen Interessenabwägung zulässige Maßnahme – die beispielsweise in der einmaligen Weitergabe der Adresse nur zum Zwe211
Isabell Conrad
cke ihrer Löschung aus den von den Werbepartnern der Beklagten verwendeten Verzeichnissen liegen könnte – der Beklagten trotz des Widerspruchs des Klägers eine ausreichende Folgenbeseitigung ermöglicht.“ VII. Keine Störerhaftung für passwortgesichertes WLAN: BGH v. 24.11.2016 – I ZR 220/15 23 Sachverhalt: „Die Klägerin ist Inhaberin von Verwertungsrechten an dem Film „The Expendables 2“. Sie nimmt die Beklagte wegen des öffentlichen Zugänglichmachens dieses Filmwerks im Wege des „Filesharing“ auf Ersatz von Abmahnkosten in Anspruch. Der Film ist im November und Dezember 2012 zu verschiedenen Zeitpunkten über den Internetanschluss der Beklagten durch einen unbekannten Dritten öffentlich zugänglich gemacht worden, der sich unberechtigten Zugang zum WLAN der Beklagten verschafft hatte. Die Beklagte hatte ihren Internet-Router Anfang 2012 in Betrieb genommen. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite des Routers aufgedruckten WPA2-Schlüssel gesichert, der aus 16 Ziffern bestand. Diesen Schlüssel hatte die Beklagte bei der Einrichtung des Routers nicht geändert. Das Amtsgericht hat die Klage abgewiesen. Die Berufung der Klägerin ist ohne Erfolg geblieben.“ 24 Entscheidung: „Der Bundesgerichtshof hat die Revision der Klägerin zurückgewiesen. Er hat angenommen, dass die Beklagte nicht als Störerin haftet, weil sie keine Prüfungspflichten verletzt hat. Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist zur Prüfung verpflichtet, ob der eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort verfügt. Die Beibehaltung eines vom Hersteller voreingestellten WLANPassworts kann eine Verletzung der Prüfungspflicht darstellen, wenn es sich nicht um ein für jedes Gerät individuell, sondern für eine Mehrzahl von Geräten verwendetes Passwort handelt. Im Streitfall hat die Klägerin keinen Beweis dafür angetreten, dass es sich um ein Passwort gehandelt hat, das vom Hersteller für eine Mehrzahl von Geräten vergeben worden war. Die Beklagte hatte durch Benennung des Routertyps und des Passworts sowie durch die Angabe, es habe sich um ein nur einmal vergebenes Passwort gehandelt, der ihr insoweit obliegenden sekundären Darlegungslast genügt. Da der Standard WPA2 als hinreichend sicher anerkannt ist und es an Anhaltspunkten dafür fehlt, dass im Zeitpunkt des Kaufs der voreingestellte 16-stellige Zifferncode nicht marktüblichen 212
Länderbericht Deutschland
Standards entsprach oder Dritte ihn entschlüsseln konnten, hat die Beklagte ihre Prüfungspflichten nicht verletzt. Sie haftet deshalb nicht als Störerin für die über ihren Internetanschluss von einem unbekannten Dritten begangenen Urheberrechtsverletzungen. Eine bei dem Routertyp bestehende Sicherheitslücke ist in der Öffentlichkeit erst im Jahr 2014 bekannt geworden.“12 Fazit:
25
Der BGH verneint damit eine Störerhaftung des Anschlussinhabers, wenn das Netzwerk ausreichend verschlüsselt ist (hier: WPA2). Eine Änderung des vom Router vorkonfigurierten Passwortes ist nicht notwendig und kann weiter verwendet werden, wenn es sich um einen individuellen Schlüssel handelt. B. Berufsgeheimnis, Datenschutz, IT-Sicherheit I. Gesetzesentwurf zu § 203 StGB Am 15.2.2017 veröffentlichte das Bundesministerium für Justiz und Ver- 26 braucherschutz (BMJV) den Entwurf13 eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen14. Ziel ist die Erleichterung der Einbeziehung Dritter, außerhalb der eigenen Sphäre stehender Personen für Hilfstätigkeiten von Berufsgeheimnisträgern (sog. „Non-Legal-Outsourcing“)15. Insbesondere findet sich darin die Absicht, die Ver-
12 Pressemitteilung Nr. 212/2016 des BGH v. 24.11.2016, abrufbar unter: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=76605&linked=pm. 13 Neuer Gesetzesentwurf abrufbar unter: https://www.bmjv.de/SharedDocs/ Gesetzgebungsverfahren/Dokumente/ReGE_Neuregelung_Schutzes_von_Geheimnissen_bei_Mitwirkung_Dritter_an_der_Berufsausuebung_schweigepflichtiger_Personen.pdf;jsessionid=FC63C65845470DE94E21211565259F 1B.2_cid297?__blob=publicationFile&v=2. 14 Siehe Beitrag dazu von Fechtner, Geplante Neuregelung in § 203 StGB: Erleichterte Einbindung externer Dienstleister für Berufsgeheimnisträger?, CRonline Blog v. 6.1.2017, abrufbar unter http://www.cr-online.de/blog/2017/01/06/ geplante-neuregelung-in-%c2%a7-203-stgb-erleichterte-einbindung-externerdienstleister-fuer-berufsgeheimnistraeger/. 15 Siehe Conrad/Fechtner, IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und des BGH, CR 3/2013, 137 und Hausen, Macht der EuGH den Weg frei für das Outsourcing von IT-Dienstleistern, CRonline Blog v. 5.12.2012, abrufbar unter http://www.cr-online.de/blog/2012/12/05/
213
Isabell Conrad
schwiegenheitspflicht bei Mitarbeitern und Dienstleistern, derer sich der Anwalt bei der Ausübung seines Berufs bedient, neu zu regeln. 27 Der Entwurf enthält Änderungen der Bundesrechtsanwaltsordnung (BRAO), der Bundesnotarordnung (BNotO) und der Patentanwaltsordnung (PAO). Insbesondere sind das die folgenden Änderungen: –
Nach dem Regierungsentwurf sollen von Berufsträgern beauftragte Dritte als taugliche Täter i. S. v. § 203 StGB („mitwirkende Personen“) aufgenommen werden.
–
Der neue Abs. 3 des § 203 StGB soll klarstellen, dass auch bei der Tätigkeit von Berufsgeheimnisträgern die Mitwirkung von Dienstleistern der Lebenswirklichkeit entspricht.
Der Ausschuss Berufsrecht des DAV begrüßt die Änderungen, kritisiert aber „handwerkliche Schwächen und Unschärfen in der Begrifflichkeit“, die zu Rechtsunsicherheit führen können sowie die Europarechtskonformität16. II. Neues Gesetz zur TK-Überwachung bei OTT 28 Während die EU-Kommission und die Netzagenturen der anderen Mitgliedstaaten bislang davon ausgehen, dass OTT-Dienste (insbesondere Messenger-Dienste wie WhatsApp, Facebook Messenger, Skype) keine Telekommunikationsdienste sind, vertritt die deutsche Bundesnetzagentur eine andere Auffassung und hat aktuell diverse Anfragen an OTTs gestellt17. Die Streitfrage wird schon seit längerem heiß diskutiert und hat große Relevanz für OTTs, etwa hins. der Meldepflicht. Neuen Schwung hat die Debatte durch den Entwurf der EU-Kommission für eine „Regulation on Privacy and Electronic Communications“ (sog. ePrivacy Verordnung) bekommen, die im Mai 2018 in Kraft treten soll18. Die Verordnung macht-der-eugh-den-weg-frei-fur-das-outsourcing-von-it-dienstleistungendurch-geheimnistrager-nach-%C2%A7-203-stgb/). 16 DAV Stellungnahme 2/2017 (Ausschuss Berufsrecht). 17 https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Allgemeines/Bundesnetzagentur/WAR/WAR_OTT.pdf?__blob=publicationFile&v=1; https://www.bundesnetzagentur.de/DE/Allgemeines/DieBundesnetzagentur/WAR/Stellungnahmen/Stellungnahme_OTT.pdf?__blob=publication File&v=2; http://berec.europa.eu/eng/document_register/subject_matter/berec/ reports/5751-berec-report-on-ott-services; Gersdorf, K&R 2016, 91; Kühling/ Schall, CR 2016, 185. 18 Siehe Entwurf der EU-Kommission v. 10.1.2017, COM(2017) 10 final; Amtl. Übersetzung: http://www.bvdw.org/fileadmin/downloads/mepo/Entwurf_ePrivacy_ Verordnung_dt.pdf.
214
Länderbericht Deutschland
soll die bisher geltende Richtlinie 2002/58 ersetzen. Ziel ist der bessere Schutz der Privatsphäre in elektronischer Kommunikation. Die Verordnung soll lex specialis zur DSGVO sein und die DSGVO spezialisieren und vervollständigen, soweit personenbezogene Daten elektronischer Kommunikation betroffen sind. Ein Ziel des Verordnungsentwurfs ist die Einbeziehung von OTT-Diensten: „New players: privacy rules will in the future also apply to new players providing electronic communications services such as WhatsApp, Facebook Messenger and Skype. This will ensure that these popular services guarantee the same level of confidentiality of communications as traditional telecoms operators.“ Der Bundesrat hat die Bundesregierung in einer Entschließung19 aufge- 29 fordert, für eine stärkere Gleichbehandlung von OTTs und anderen Telekommunikationsdiensten zu sorgen. Hierzu ist eine Änderung im TKG zu den Vorschriften „zum Kundenschutz, zur Marktregulierung, zum Fernmeldegeheimnis und zum Datenschutz für Dienste gleicher Funktionalität“ notwendig. Anpassungsbedarf sieht der Bundesrat besonders bei: „Messengerdiensten, standortbezogenen Diensten, der Machine-toMachine-Kommunikation sowie bei der Prüfung der Regulierung von Internetplattform-Anbietern.“ Am 22.6.2017 hat ein neues Gesetz „zur effektiveren und praxistaugli- 30 cheren Ausgestaltung des Strafverfahrens“ per Eilverfahren den Bundestag passiert20. Danach dürfen die Strafverfolgungsbehörden künftig Chats sowie Internet-Telefonate von sog. Messenger-Diensten unbemerkt überwachen und heimliche Online-Durchsuchungen durchführen. Im Falle „besonders schwerer Straftaten“ können daher IT-Systeme (Smartphones, Computer etc.) mit einer Art Staatstrojaner ausgespäht werden. Experten sehen darin u. a. eine Gefährdung für die IT-Sicherheit21. III. Gesetz zur Anpassung des Datenschutzrechts an die DatenschutzGrundverordnung Im November 2016 veröffentlichte das Bundesministerium des Innern 31 einen viel diskutierten22 Referentenentwurf für ein Gesetz zur Anpas19 Entschließung abrufbar unter: http://www.bundesrat.de/SharedDocs/drucksachen/2016/0001-0100/88-16(B).pdf?__blob=publicationFile&v=1. 20 Beschlussempfehlung v. 20.6.2017, http://dipbt.bundestag.de/dip21/btd/18/ 127/1812785.pdf. 21 https://www.heise.de/newsticker/meldung/Bundestag-gibt-Staatstrojanerfuer-die-alltaegliche-Strafverfolgung-frei-3753530.html; http://www.faz.net/ aktuell/politik/online-durchsuchung-quellen-tkue-bundestrojaner-wirdgesetz-15071053.html. 22 Siehe auch Stellungname des DAV (Ausschuss Informationsrecht) 87/2016.
215
Isabell Conrad
sung des Datenschutzrechts an die Datenschutz-Grundverordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)23. Teil davon ist ein geändertes BDSG (BDSG-E). Der aktuelle Entwurf durch die Bundesregierung wird am 24.2.2017 veröffentlicht24. Der Bundesrat veröffentlicht zum Regierungsentwurf eine eigene Stellungnahme am 10.3.201725. Am 27.4.2017 hat der Bundestag den überarbeiteten Entwurf in 2. und 3. Lesung beschlossen26 und der Bundesrat erteilt seine Zustimmung zum Gesetz am 12.5.2017. Nach Ausfertigung kann das Gesetz zusammen mit der Datenschutz-Grundverordnung am 25.5.2018 in Kraft treten. 32 Wesentliche Inhalte sind (nicht abschließend): –
Das alte BDSG wird in Teilen übernommen. Prominentes Beispiel insb. der Beschäftigtendatenschutz (§ 26 BDSG-neu) – allerdings Europarechtskonformität mit Blick auf die DSGVO sehr fraglich – und die Regelungen zum Datenschutzbeauftragten (§ 38 und § 5–7 BDSG-neu).
–
Das neue BDSG enthält Spezialregelungen zur Videoüberwachung (§ 4 BDSG-neu; dazu siehe unten IV.) und Profiling (§ 37 BDSG-neu).
–
Anders als die zuvor heftig kritisierten Entwürfe enthält das neue BDSG keine so massiven Einschränkungen der Betroffenenrechte.
–
§ 29 BDSG-neu regelt die Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten. Gem. § 29 Abs. 3 BDSG-neu bestehen bestimmte Untersuchungsbefugnisse nicht gegenüber den in § 203 Abs. 1, 2a und 3 des StGB genannten Personen oder deren Auftragsverarbeitern, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt eine Aufsichtsbehörde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht unterliegen, gilt die Geheimhaltungspflicht auch für die Aufsichtsbehörde. Eine eigenständige, sektorale Datenschutzaufsicht, wie von der Bundesrechtsanwaltskammer in der BRAK-Stellungnahme 41/2016 gefordert, gibt es bislang nicht.
23 Abrufbar unter: https://www.datenschutzverein.de/wp-content/uploads/2016/ 11/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung. pdf. 24 Abrufbar unter: https://dip21.bundestag.de/dip21/btd/18/113/1811325.pdf. 25 Abrufbar unter: http://dip21.bundestag.de/dip21/btd/18/116/1811655.pdf. 26 Abrufbar unter: http://dip21.bundestag.de/dip21/btd/18/120/1812084.pdf.
216
Länderbericht Deutschland
–
Betriebsvereinbarungen bleiben zulässiges Mittel als Erlaubnisgrundlage für Datenverarbeitungstätigkeiten, was aber von den deutschen Datenschutzbehörden bislang teilweise bestritten wurde.
IV. Videoüberwachungsverbesserungsgesetz Das Videoüberwachungsverbesserungsgesetz wurde am 4.5.2017 im Bun- 33 desgesetzblatt veröffentlicht27. Es ändert die Regelung zur Videoüberwachung öffentlich zugänglicher Anlagen und Einrichtungen im Bundesdatenschutzgesetz. § 4 Abs. 1 S. 2 BDSG n. F. lautet: „Bei der Videoüberwachung von 1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder 2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs, gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“ Wesentlicher Inhalt:
34
Nicht-öffentliche Stellen haben bei der Entscheidung über das Durchführen einer Videoüberwachung im Rahmen einer Abwägungsentscheidung gem. § 4 Abs. 1 S. 2 „den Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse“ zu berücksichtigen. Begründung:
35
Aufgrund der Vorkommnisse (bspw. in München im Juli 2016) muss Sicherheitsbelangen Rechnung getragen werden. Die Ermittlungstätigkeit von Polizei und Staatsanwaltschaft kann durch Aufzeichnungen verbessert werden. Nach der Begründung des Entwurfs soll mit der gesetzlichen Wertung zur Erhöhung des Sicherheitsniveaus in Deutschland insgesamt beigetragen werden.
27 https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@ attr_id=%27bgbl117s0968.pdf%27]#__bgbl__%2F%2F*%5B%40attr_ id%3D%27bgbl117s0968.pdf%27%5D__1498025480617.
217
Isabell Conrad
36 Ansicht der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, 9.11.2016: „Videoüberwachungsverbesserungsgesetz“ zurückziehen! […] Gleichwohl lässt es die einschlägige Bestimmung des § 6b BDSG bereits gegenwärtig zu, die Sicherheitsbelange von Personen, die sich in öffentlich zugänglichen Bereichen aufhalten, bei der Abwägung zwischen den Rechten Betroffener und den Betreiberinteressen zu berücksichtigen. Im Rahmen der Hausrechtsausübung können auch heute Kameras installiert werden, um Personen von Straftaten an den Objekten abzuhalten. Darüber hinaus kann Videotechnik zur Beweissicherung eingesetzt werden und nach § 6 Abs. 3 Satz 2 BDSG können Videobilder an Polizei-, Ordnungs- und Strafverfolgungs- und Ordnungsbehörden weitergegeben werden, wenn dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Die Begründung des BMI suggeriert, die Datenschutzaufsichtsbehörden verhinderten angesichts der angespannten Sicherheitslage die Durchführung von Videoüberwachung. Dies trifft nicht zu. Tatsächlich werden bei Enthaltung der Bundesbeauftragten für Datenschutz und Informationsfreiheit gerade im Bereich der großen Einkaufszentren, aber auch an Bahnhöfen und in Fahrzeugen des Personennahverkehrs bereits heute zahlreiche Kameras mit ausdrücklicher Billigung der Aufsichtsbehörden betrieben.“28 37 Kritik: –
Vorwegnahme der Abwägungsentscheidung
–
Kompetenz zur Regelung der Videoüberwachung zum Zwecke der Gefahrenabwehr fraglich
–
Es ist nicht die Aufgabe privater Stellen, die Sicherheit der Bevölkerung zu gewährleisten29.
–
Erforderlichkeit der Regelung aus Sicht des Gefahrenabwehrrechts (für präventiven Bereich Regelungen in Landesgesetzen und für repressiven Bereich Regelung des § 100h StPO).
28 Entschließung der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, 9.11.2016, S.1, abrufbar unter: https://datenschutzberlin.de/attachments/1261/2016-DSK-Videoueberwachungsverbesserungsgesetz_zurueckziehen.pdf?1478787632. 29 Entschließung der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, 9.11.2016, S. 2, abrufbar unter: https://datenschutzberlin.de/attachments/1261/2016-DSK-Videoueberwachungsverbesserungsgesetz_zurueckziehen.pdf?1478787632.
218
Länderbericht Deutschland
V. IT-Sicherheitsgesetz und BSI-KritisV Das IT-Sicherheitsgesetz (in Kraft getreten am 25.7.201530) änderte und 38 ergänzte das BSI-Gesetz, das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem 39 BSI-Gesetz (BSI-Kritisverordnung – BSI-Kritis-VO) vom 22.4.2016 soll den Betreibern Kritischer Infrastrukturen ermöglichen, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen: –
Sektoren Energie, Wasser, Ernährung
–
Sektor Informationstechnik und Kommunikation
–
Kritische Dienstleistungen: Sprach- und Datenübertragung; Datenspeicherung/-verarbeitung (Housing, IT-Hosting, Vertrauensdienste)
–
Detaillierung nach „Anlagekategorie“ und „Schwellenwerten“ in Anhang 4
Durch die zweite BSI-Kritis-VO (Änderungs-VO) werden Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr nunmehr mit einer Änderungsverordnung getroffen: Die Bundesregierung hat dem Referentenentwurf vom 31.5.2017 zugestimmt. Damit kann diese Verordnung voraussichtlich noch im Juni 2017 in Kraft treten. Betreiber „Kritischer Infrastrukturen“ aus den Bereichen Energie, In- 40 formationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, dessen Kompetenzen gestärkt wurden. Darüber hinaus werden zur Steigerung der IT-Sicherheit im Internet die Anforderungen an die Anbieter von Telekommunikationsund Telemediendiensten erhöht. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamts im Bereich der Computerdelikte ausgebaut31.
30 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) v. 17.7.2015, BGBl. I 2015, S. 1324. 31 Roos, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636.
219
Isabell Conrad
41 Bedeutende Regelungen für die Betreiber Kritischer Infrastrukturen (§§ 8a und b BSI-G) –
Einhaltung von Mindestanforderungen, insb. IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ (§ 8a Absatz 1 BSI-G) und Nachweispflicht gegenüber dem BSI;
–
Meldung von IT-Sicherheitsvorfällen (§ 8b Absatz 4 BSI-G).
–
Verpflichtungen für den Bund
–
Stärkung der IT-Sicherheit der Bundesverwaltung (Erarbeitung von Mindeststandards durch das BMI)
–
Verpflichtungen für TK-Unternehmen
–
Einsatz und Erhaltung von IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ nicht nur zum Schutz personenbezogener Daten, sondern auch zum Schutz vor unerlaubten Eingriffen in die Infrastruktur (§ 109 Absätze 1 und 2 TKG),
–
Information der Nutzer über Schadprogramme und ihre Erkennung und Beseitigung (§ 109a Absatz 4 TKG) und
–
Meldung erheblicher IT-Störungen (§ 109 Absatz 5 TKG).
–
Verpflichtungen für Telemediendiensteanbieter § 13 Abs. 7 TMG verpflichtet dazu, technische und organisatorische Sicherheitsmaßnahmen unter Berücksichtigung des Stands der Technik zu ergreifen, soweit dies technisch möglich und wirtschaftlich zumutbar ist. Soweit der Telemediendienst eine Kritische Infrastruktur darstellt, ergeben sich weitergehende Sicherungspflichten für Telemediendiensteanbieter nach dem IT-Sicherheitsgesetz32.
42 Folgen: –
Meldepflicht von Sicherheitsvorfällen ermöglicht ein bundesweites Lagebild und fördert Informationsaustausch.
–
Erhöhung des Sicherheitsniveaus und Erleichterung von deren Implementierung durch Branchenstandards.
–
Regelmäßige Überprüfung (Audits durch das BSI) zur Sicherstellung eines hohen Sicherheitsniveaus; dabei sind von den betroffenen Unternehmen detaillierte Informationen zu offenbaren.
–
Unternehmen müssen ein Warn- und Meldesystem mit einer 24/7-Erreichbarkeit einrichten (§ 8b Abs. 4 IT-SiG: Meldung kritischer Vor-
32 Djeffal, Neue Sicherungspflicht für Telemediendiensteanbieter – Webseitensicherheit jetzt Pflicht nach dem IT-Sicherheitsgesetz, MMR 2015, 716.
220
Länderbericht Deutschland
– –
fälle unter Nennung des Betreibernamens beim BSI; bei Vorfällen, die kritisch sein könnten, ist der Betreibername nicht notwendigerweise zu nennen) Zertifizierungen wie ISO 27001 reichen wohl nicht. Betroffene Betreiber sind mit Inkrafttreten verpflichtet, – dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen (§ 8b Abs. 3 BSI-G), über die sie jederzeit erreichbar sind und – dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen (§ 8a Abs. 1 BSI-G)33.
Um die NIS-Richtlinie der EU (RL 2016/1148 vom 6.7.2016 im Zuge der 43 europäischen Cybersicherheitsstrategie) umzusetzen hat der Bundestag am 28.4.2017 Änderungen im BSI-G beschlossen; eingeführt wurden u. a. der Begriff des „Anbieters Digitaler Dienste“ und speziell die Begriffe Online-Marktplätze, Suchmaschinen und Cloud-Computing-Dienste. § 2 Abs. 11 Nr. 3 BSI-G-E definiert hins. Cloud Computing: [Digitale Dienste im Sinne dieses Gesetzes sind Dienste ….die …] „den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste) und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.“ 44
Die für Anbieter Digitaler Dienste geplanten neuen Pflichten sind: –
–
–
–
Pflicht zur Vornahme geeigneter Sicherheitsmaßnahmen: Anbieter Digitaler Dienste müssen unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen treffen, um die Risiken der Netz- und Informationssysteme zu bewältigen und die Auswirkungen von Sicherheitsvorfällen so gering wie möglich zu halten (§ 8c Abs. 1, 2 BSI-G-E). Meldepflichten: Sicherheitsvorfälle sind zu melden, wenn sie erhebliche Auswirkungen auf die Bereitstellung des erbrachten digitalen Dienstes haben (§ 8c Abs. 3 BSI-G-E). Konkretisierung durch EU-Kommission und BMI: Durchführungsrechtsakte der Kommission (§ 8c Abs. 2 und 3 a. E. BSI-G) und weitere Konkretisierungen durch das BMI durch Rechtsverordnung (§ 10 Abs. 4 BSIG-E). BSI-Aufsicht: Das BSI kann von den Anbietern Sicherheitskonzepte anfordern, prüfen und die Beseitigung von Mängel verlangen (§ 8c Abs. 4 BSI-G).
33 Kuntz, MMR-Aktuell 2016, 377464.
221
Isabell Conrad
–
Das BSI hat den Entwurf in einer Pressemitteilung bereits begrüßt und angekündigt, seinen bisher kooperativen Ansatz gegenüber den betroffenen Unternehmen fortzusetzen.
–
Bußgelder: Bußgelder bis 100.000 EUR (statt bisher 50.000 EUR) auch für Anbieter Digitaler Dienste (§ 14 Abs. 1, 2 BSI-G-E).
–
Umsetzungszeitraum: Erst ab dem 10.5.2018 anwendbar (entsprechend NIS-Richtlinie).
45 Wesentliche Neuerungen für Betreiber Kritischer Infrastrukturen: –
Audits: Betreiber von KRITIS müssen Ergebnisse der regelmäßigen Audits auf Anfrage an das BSI übermitteln (§ 8a Abs. 3 S. 4 BSI-G-E).
–
Prüfungen durch das BSI: Das BSI kann künftig vor Ort (ggf. durch qualifizierte unabhängige Dritte) überprüfen, ob sie die Vorgaben des § 8a Abs. 1 BSI-G (Schutz der IT) einhalten (§ 8a Abs. 4 BSI-G-E).
–
Zweigeteilte Meldung von Sicherheitsvorfällen an das BSI:
–
Bislang waren erhebliche Störungen der IT durch Angriffe zu melden, sofern die Kritische Infrastruktur hierdurch ausfällt oder ausfallen könnte. Nun besagt § 8b Abs. 4 BSI-G-E, dass im Fall eines tatsächlichen Ausfalls (bzw. einer erheblichen Beeinträchtigung) der Infrastruktur jede dafür verantwortliche IT-Störung gemeldet werden muss. Erhebliche Störungen der IT sind auch dann zu melden, wenn durch sie ein Ausfall (oder eine erhebliche Beeinträchtigung) droht. Die Behörden leiten die Meldungen an andere EU-Staaten weiter, sofern diese durch Störungen ebenfalls betroffen sind (§ 8b Abs. 2 BSI-G-E).
–
Mobile Incident Response Teams („MIRTs“): Unterstützung von insb. Betreibern Kritischer Infrastrukturen bei der Wiederherstellung ihrer IT-Systeme durch BSI (§ 5a BSI-G-E).
C. IT-Vertragsrecht: Agile Projektmethoden, Software-Gebrauchthandel, Open Source Software, AGB-Recht I. Werkvertrag bei Scrum-Projekt: LG Wiesbaden v. 30.11.2016 – 11 O 10/15 46 1. Sachverhalt Die Parteien hatten zwar einen LoI abgeschlossen, zum Abschluss des beabsichtigten „Projektentwicklungsvertrags“ über den Aufbau einer Internetplattform kam es aber nicht. Vielmehr begannen die Parteien – sehr praxistypisch – bereits mit der Durchführung des Projekts, für das 222
Länderbericht Deutschland
sie die Methodik SCRUM festlegten. „Bei diesem Verfahren erfolgt die Softwareerstellung in kleinen Schritten orientiert an den vom Auftraggeber fortlaufend definierten Aufgaben oder vorgegebenen, in der Software abzubildenden Sachverhalten, ohne dass zuvor das Endergebnis der Entwicklung festgelegt ist. Diese Methode eignet sich besonders in den Fällen, in denen der Auftraggeber selbst nicht über genügende Kenntnisse verfügt, um wie bei der klassischen Softwareerstellung ein Lasten- und Pflichtenheft zu erstellen.“34 Die Parteien gingen SCRUMtypisch agil vor und führten „Sprints“ durch. Der Kunde war der – so das LG Wiesbaden – „Projekt-Owner“ (gemeint ist wohl Product Owner). Das Projekt wurde vorzeitig abgebrochen und der Auftragnehmer forderte Vergütung von Programmier- und Beratungsleistungen nach Aufwand. Der Auftraggeber machte also nicht Rückabwicklung oder fristlose Kündigung und Schadensersatz geltend, sondern der Auftragnehmer seine (restliche) Vergütung. Der Auftragnehmer hatte seine Programmierleistungen nicht (auch nicht im Code) dokumentiert. 47
2. Entscheidung des Gerichts Das LG Wiesbaden kam zum Ergebnis, dass dem Auftragnehmer die geltend gemachte Vergütung nicht zusteht. Es qualifizierte das Vertragsverhältnis auf Basis des LoI als Werkvertrag. Da bei SCRUM – anders als bei der Wasserfall-Methodik – gerade kein Lastenheft/Pflichtenheft vorgeschaltet ist bzw. am Anfang des Projekts steht, ist bei SCRUM die Planung in den Sprints integriert. Die Konzeptionshoheit liege beim Auftraggeber, die Ausführungsverantwortlichkeit einschließlich Dokumentationspflicht beim Auftragnehmer. Der werkvertragliche Charakter liegt somit vor, auch wenn die Verantwortlichkeiten der Parteien nicht so deutlich wie beim klassischen Wasserfallmodell voneinander abgegrenzt sind. Das Gericht sah als Mangel an, dass eine übergreifende System-/Architektur-Dokumentation gefehlt habe.
48
3. Konsequenzen Bei Aufwandsprojekten35 stellt sich regelmäßig die Frage, ob die Dokumentation als gesonderte Leistung extra beauftragt und vergütet werden muss oder als originärer Bestandteil bereits inkludiert ist36. Zudem ist in der Praxis bzw. bei Vertragsverhandlungen oft streitig, welche Art(en)
34 LG Wiesbaden v. 30.11.2016 – 11 O 10/15. 35 Schneider, ITRB 2/2017. 36 Anspruch auf Dokumentation bejaht, Fälligkeit mit Abschluss der Arbeiten: BGH v. 20.2.2001 – X ZR 9/99, CR 2001, 367.
223
Isabell Conrad
der Dokumentation geschuldet ist/sind. Im vorliegenden Fall waren die in den Sprints erbrachten (Teil-) Leistungen mangels einer „hinreichenden Dokumentation“ für den Auftraggeber nicht nutzbar. Das Gericht schlussfolgert daraus die Wertlosigkeit der Teilleistungen. Die Dokumentation bei agilen Projekten hat somit einen gleich hohen Rang wie bei Wasserfall, was den Grundsätzen des Agilen Manifestes eher nicht entspricht. Zudem verlangt das LG Wiesbaden ein ständiges Mitführen der Dokumentation, was unter Qualitätsgesichtspunkten empfehlenswert sein kann, aber bei vielen Backlogs bzw. Änderungen zu hohem Aufwand führt. Nach BGH wäre die Dokumentation erst bei Abschluss des Projekts fällig37. Bei Vergütung nach Zeitaufwand wäre die Erstellung der Dokumentationen wohl nicht in der Vergütung für die Programmierleistungen inkludiert und somit gesondert zu vergüten. Fraglich ist zudem, ob es – sofern nichts anderes vereinbart ist (etwa im Sprint Backlog) – mittlerem Ausführungsstandard entspricht, zu fordern, dass die Ergebnisse der Sprints für sich genommen nutzbar sind. 49 Im Ergebnis führte der vom Gericht ermittelte Parteiwille für den Auftraggeber möglicherweise zu einem besseren Ergebnis, als wenn der Projektentwicklungsvertrag abgeschlossen worden wäre. Darin liegt ein erhebliches Risiko für den Auftragnehmer, der vor Vertragsschluss mit den Arbeiten beginnt. Denn typischerweise werden im vorvertraglichen Bereich seitens des Auftragnehmers Versprechungen gemacht (auch hins. der Nutzbarkeit für den Kunden). II. Erschöpfungsgrundsatz, Vertrieb von Product Keys 50 EuGH und BGH haben die Anforderungen an die Erschöpfung bei Erwerb gebrauchter Software und Online-Vertrieb in einer Reihe von Entscheidungen konkretisiert: EuGH v. 3.7.2012 – C-128/11, ITRB 2012, 171 = CR 2012, 498 (UsedSoft I); BGH v. 17.7.2013 – I ZR 129/08, ITRB 2014, 75 = CR 2014, 168 (UsedSoft II); BGH v. 11.12.2014 – I ZR 8/13, CR 2015, 429 (UsedSoft III); BGH v. 19.3.2015 – I ZR 4/14, ITRB 2015, 277 = CR 2015, 711 (Green-IT). 51 Ein praktisches Problem beim Weiterverkauf gebrauchter Software, das sich bereits im Vertrag zwischen Hersteller und Ersterwerber zeigt, sind die Geheimhaltungspflichten des Ersterwerbers gegenüber einem potentiellen künftigen Zweiterwerber einerseits und dem berechtigten Interesse des Herstellers an einer Überprüfung gebrauchter Lizenzen andererseits. Dieser Konflikt ist durch das Auskunftsverfahren gem. 37 BGH v. 20.2.2001 – X ZR 9/99, CR 2001, 367.
224
Länderbericht Deutschland
§ 101a Abs. 1 UrhG zu lösen. Im Rahmen sog. Lizenz-Audits oder Lizenzvermessung wird dem Käufer häufig suggeriert, er selbst müsse bestimmte Unterlagen und Dokumente vorlegen, über die er jedoch regelmäßig nicht verfügt und die er deshalb vom Verkäufer herausverlangen möchte38. 52
1. LG München I v. 1.9.2015 – 33 O 12440/14 Das Gericht konkretisiert die Nachweispflichten hins. der lückenlosen Rechtekette bei Virtualisierung des Softwarevertriebs und die Frage der Erschöpfung.
53
2. OLG Frankfurt a. M. v. 5.4.2016 – 11 U 113/15 Das Gericht behandelt den Vertrieb von Produktschlüsseln: Urheberrechtsverletzung durch isolierte Weitergabe von Product Keys.
54
3. AG Gießen v. 19.4.2016 – 506 Ds 701 Js 23382/14 Wer wiederholt online (im konkreten Fall in 5 Fällen) nicht lizenzierte Software gegen Entgelt veräußert, macht sich wegen gewerbsmäßigen Betruges strafbar. Der Angeklagte hatte Microsoft-Software und den dazugehörigen Lizenzschlüssel verkauft, die seitens Microsoft speziell für Schulungseinrichtungen und ihre Teilnehmer ausgegeben wurden und für die Microsoft den Weiterverkauf untersagt hatte. Das Gericht verhängte eine Strafe von 1 Jahr und 6 Monaten auf Bewährung.
55
4. EuGH v. 12.10.2016 – C-166/1 „Art. 4 Buchst. a und c und Art. 5 Abs. 1 und 2 der Richtlinie 91/250/ EWG des Rates vom 14. Mai 1991 über den Rechtsschutz von Computerprogrammen sind dahin auszulegen, dass der Ersterwerber der mit einer Lizenz zur unbefristeten Nutzung verbundenen Kopie eines Computerprogramms zwar berechtigt ist, die benutzte Kopie und seine Lizenz an einen Zweiterwerber zu verkaufen, doch darf er, wenn der körperliche Originaldatenträger der ihm ursprünglich gelieferten Kopie beschädigt oder zerstört wurde oder verloren gegangen ist, seine Sicherungskopie dieses Programms dem Zweiterwerber nicht ohne Zustimmung des Rechtsinhabers übergeben.“39
38 Kubach/Hunzinger, Wer hat das Recht an der Rechtekette und welche Rechte hat der Käufer von Gebrauchtsoftware?, CR 2016, 213-218. 39 EuGH v. 12.10.2016 – C-166/1, EuZW 2016, 866 (m. Anm. Marly/Prinz).
225
Isabell Conrad
III. Open Source Software 56 1. LG Halle v. 27.7.2015 – 4 O 133/15 Sachverhalt: „Die Parteien streiten um die Verletzung des Urheberrechts an einer freien Software, mit deren Hilfe es Institutionen ermöglicht wird, anderen Personen die Verwendung eigener Endgeräte im institutionseigenen WLAN zu gestatten. Die Verfügungsbekl. stellte die Software auf ihrer Homepage seit dem Jahre 2010 ihren Mitarbeitern und Studierenden zum Herunterladen zur Verfügung, ohne jedoch dem betreffenden Nutzer vor dem Herunterladen des Programms zugleich den Lizenztext der GNU General Public Licence (im Folgenden: GPL) zur Kenntnis zu geben und ohne ihm den vollständigen korrespondierenden Sourcecode lizenzgebührenfrei zugänglich zu machen oder auf einem üblichen Datenträger zu die Herstellung der Kopie nicht übersteigenden Kosten zur Verfügung zu stellen, wie dies die Lizenzbedingungen der GPL in §§ 1 und 3 der Version 2 vom Juni 1991 bzw. Ziff. 4 und 6 der Version 3 v. 29.6.2007 vorsehen. Die Verfügungskl. beanstandeten die lizenzwidrige Verwendung des Programms und forderten Auskunft über die bisherige Nutzung der Software sowie die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung. Dies lehnte die Verfügungsbekl. ab. Die Verfügungskl. trägt vor, die ausschließlichen Nutzungsrechte an der Software auf Grund eines zwischen ihr und der B. V. am 1.12.2006 geschlossenen Vertrags erworben zu haben. Daher sei sie ggü. der Verfügungsbekl. zur Geltendmachung der sich daraus ergebenden Rechte befugt.“40 57 Entscheidung: „Entgegen der Auffassung der Verfügungsbekl. steht dem geltend gemachten Anspruch Ziff. 8 Abs. 3 der GPL in der Version 3 v. 29.6.2007 nicht entgegen. Denn durch diese Regelung wird dem erstmaligen Verletzer zwar die weitere Nutzung der Lizenz eingeräumt, wenn dieser die Verletzung innerhalb von 30 Tagen nach dem Eingang eines entsprechenden Hinweises einstellt, wovon die Kammer vor dem Hintergrund der eidesstattlichen Versicherung des Herrn.. ausgeht. Diese Einräumung des Rechts der weiteren Nutzung der Lizenz ist jedoch nicht dahingehend auszulegen, dass der Lizenzgeber damit zugleich auch auf seinen
40 LG Halle v. 27.7.2015 – 4 O 133/15 (rechtskräftig), MMR 2016, 417.
226
Länderbericht Deutschland
Rechtsanspruch auf Abgabe einer strafbewehrten Unterlassungserklärung durch den (Erst-)Verletzer verzichten wollte. Denn auch wenn der Lizenzgeber dem Verletzer insoweit eine „zweite Chance“ auf Nutzung der Lizenz gibt, so hat er doch andererseits ein schützenswertes Interesse daran, bereits nach dem ersten Rechtsverstoß weiteren Rechtsverstößen nachhaltig vorzubeugen. Wäre die durch die Verfügungsbekl. vorgenommene Auslegung richtig, so käme dies einer Einladung jeden Lizenznutzers gleich, gegen die Lizenzbedingungen zu verstoßen im sicheren Wissen, dass er erst beim zweiten entdeckten Verstoß mit der Abgabe einer strafbewehrten Unterlassungserklärung oder gerichtlichen Verurteilung zur Unterlassung rechnen müsste. Bei interessensgerechter Auslegung von Ziff. 8 Abs. 3 der GPL in der Version 3 v. 29.6.2007 stellt sich daher weder die vorprozessual erfolgte Abmahnung der Verfügungsbekl. noch die gerichtliche Geltendmachung des Unterlassungsanspruchs als sinnlos oder treuwidrig dar..“ 58
Fazit: Verstößt ein Verwender von freier Software gegen die GNU General Public Licence, besteht Wiederholungsgefahr i. S. d. Urheberrechts, auch wenn die Lizenz gem. Ziffer 8 Abs. 3 der GPLv3 wieder besteht. Auch wenn die GPLv3 dem Verletzer eine zweite Chance Nutzung der Lizenz gibt, bedeutet das nicht, dass der Verstoß nicht abgemahnt werden kann.
59
2. LG Bochum v. 3.3.2016 – I-8 O 294/15 Sachverhalt: „Die Kl. macht gegen die Bekl. einen urheberrechtlichen Auskunftsund Aufwendungsersatzanspruch sowie einen Anspruch auf Feststellung der Schadensersatzpflicht dem Grunde nach auf Grund einer Urheberrechtsverletzung geltend. Die Kl. entwickelt Softwarelösungen, die sicheren Zugang zu drahtlosen Netzwerken ermöglichen. So hat sie auch die ausschließlichen Nutzungsrechte an dem Programm „ABC“ inne. Mit diesem Programm war es Instituten aller Art möglich, eigenen Mitarbeitern bzw. externen Dritten die Verwendung eigener Endgeräte im institutionseigenen WLAN zu gestatten. Eine Lizenzierung des hier streitgegenständlichen Programms „ABC“ lief unter den Bedingungen der GNU General Public License, Version 2+ (GPL). Dadurch gestattete die Kl. jedermann die Vervielfältigung, Verbreitung und Veränderung der freien Software unter der Bedingung, dass bei der Weitergabe die Lizenzpflichten der GPL erfüllt, insb. auf die GPL hingewiesen, der Lizenztext der GPL beigefügt und der Quellcode zugänglich gemacht wurde. 227
Isabell Conrad
Die Bekl. ist eine Hochschule und betreibt ein eigenes WLAN-Netz, womit die Studierenden und Beschäftigten Zugang zum Internet und Intranet erhalten. Gästen anderer Hochschulen wird ebenfalls der Zugang zum Internet gewährt, diese benötigen aber eine Software, um das WLAN der Bekl. nutzen zu können. Hierfür hat die Bekl. in der Vergangenheit auf ihrer Internetseite die Open Source Software der Kl. „ABC“ zum Download angeboten, jedoch dabei keinen Lizenztext der GPL oder Quellcode zur Verfügung gestellt. Auf die Abmahnung der Kl. gab die Bekl. eine strafbewehrte Unterlassungserklärung ab, lehnte jedoch eine Auskunftserteilung, die Erstattung von Aufwendungen oder die Zahlung von Schadensersatz ab. Die Kl. ist der Ansicht, die Bekl. habe ihr Urheberrecht verletzt, indem sie die Software ohne Lizenztext der GPL und ohne Quellcode öffentlich zugänglich gemacht habe. Die Kl. behauptet, sie habe das streitgegenständliche Programm „ABC“ zugleich mit dem Binärcode zum Download angeboten. Mit dem Binär- und Quellcode sei auch der Lizenztext der GPL mitgeliefert worden. Zusätzlich sei der Lizenztext auch mittels eines Links auf derselben Website zum Download angeboten worden.“41 60 Entscheidung: „Die Klage ist.. begründet. 1. Die Kl. hat gegen die Bekl. gem. § 242 BGB, § 97 UrhG einen Anspruch auf Auskunft darüber, in welchem Zeitraum seitens der Bekl. die Software „ABC“ zum Download angeboten wurde und wie hoch die Studierendenzahl der Bekl. in diesem Zeitraum war. Nach § 242 BGB besteht eine Auskunftspflicht, wenn die zwischen den Parteien bestehende Rechtsbeziehung es mit sich bringt, dass der Berechtigte in entschuldbarer Weise über Bestehen oder Umfang seines Rechts im Ungewissen und der Verpflichtete die zur Beseitigung der Ungewissheit erforderliche Auskunft unschwer geben kann. Zwischen den Parteien besteht auf Grund eines Schadensersatzanspruchs wegen Urheberrechtsverletzung die erforderliche Sonderbeziehung (OLG München NJW-RR 1992, 749). Die Kl. hat gegen die Bekl. dem Grunde nach einen Anspruch auf Schadensersatz nach den Grundsätzen der Lizenzanalogie gem. § 97 Abs. 2 Satz 3 UrhG.
41 LG Bochum v. 3.3.2016 – I-8 O 294/15, MMR 2016, 553.
228
Länderbericht Deutschland
Eine Verletzung des Urheberrechts der Kl. ist allein darin zu sehen, dass die Bekl. die streitgegenständliche Software ohne Lizenztext und Quellcode i. S. v. § 69c Nr. 4 UrhG öffentlich zugänglich gemacht hat. Bei dieser Software handelt es sich um eine sog. Open Source Software, deren Nutzung gemäß der GPL kostenlos und deren Weiterentwicklung gestattet ist. Die Nutzungsberechtigung setzt jedoch die Wahrung der GPL voraus. Erforderlich ist danach insb., dass auf die GPL hingewiesen, der Lizenztext der GPL beigefügt und der Quellcode zugänglich gemacht wird.. Die Bekl. hat unstreitig diese Bedingungen der GPL nicht eingehalten. Ziff. 4 der GPL bestimmt, dass ein Lizenzverstoß automatisch zu einem Erlöschen der Lizenzrechte führt, sodass eine unberechtigte Nutzung durch die Bekl. vorliegt. Die Bekl. hat die Urheberrechtsverletzung auch zu vertreten, denn sie hat zumindest fahrlässig gehandelt. Die Kl. hat die Software nur unter den Bedingungen der GPL veröffentlicht und hierzu ausweislich der.. eingereichten Screenshots den erforderlichen Quellcode und die Lizenzbedingungen neben dem Download des Programms auf ihrer Internetseite zur Verfügung gestellt.. Da die Kl. die kostenfreie Nutzung ihrer Software nur bei Einhaltung der Bestimmungen der GPL erlaubt hat, steht ihr bei Nichteinhaltung dieses Regelwerks ein Schadensersatzanspruch dem Grunde nach zu, mag auch die berechtigte Nutzung kostenfrei sein. Wollte man der Rechtsauffassung der Bekl. folgen, wären die Urheber von unter den Bedingungen der GPL veröffentlichter Software praktisch rechtslos gestellt..“ 61
Fazit: Das Anbieten von Open Source Software unter Verstoß gegen die GPL stellt eine Urheberrechtsverletzung dar. Dem Rechteinhaber stehen in diesem Fall sowohl Auskunfts- als auch Schadensersatzansprüche nach Lizenzanalogie gem. § 97 Abs. 2 S. 3 UrhG zu.
62
3. LG Hannover v. 21.7.2015 – 18 O 159/15 Sachverhalt: „Die Verfügungsklägerin ist Inhaberin der ausschließlichen Nutzungsrechte am Computerprogramm „S“. Die Verfügungsklägerin bietet die Software als freie Software (Opensource-Software) unter den Bedingungen der GNU General Public License (GPL) an unter der Voraussetzung, dass die Vervielfältigung, Verbreitung und Veränderung der Software ebenfalls wieder unter den Bedingungen dieser Lizenz und unter Hinweis auf die GPL, Beifügung des Lizenztextes der GPL und 229
Isabell Conrad
der Zugänglichmachung des Sourcecodes erfolgt. Die Verfügungsbeklagte implementierte die Software auf ihrer Webseite. Zum Zeitpunkt des Downloads des Programms für das Betriebssystem Windows XP durch die Verfügungsbeklagte im Juni 2007 waren die Lizenzbedingungen der GPL nicht auf der Internetseite der Verfügungsklägerin verfügbar. In der Folgezeit bot die Verfügungsbeklagte das Programm für die Betriebssysteme Windows Vista, Windows XP sowie als PDA-Version zu Download an. Am 5.5.2015 war die Software der Klägerin für Betriebssystem Windows XP weiterhin auf der Homepage der Verfügungsbeklagten abrufbar. Am 4.6.2015 gab die Verfügungsbeklagte eine Unterlassungserklärung ab (Bl. 125 d. A.) unter der auflösenden Bedingung einer allgemein verbindlichen, d. h. auf Gesetz oder höchstrichterlichen Rechtsprechung beruhenden Klärung des zu unterlassenden Verhaltens…“42. 63 Entscheidung: „Der Antrag auf Erlass einer einstweiligen Verfügung ist gem. §§ 935, 940 ZPO, § 97 Abs. 1 Satz 1 UrhG begründet. Die Verfügungsbekl. ist gem. § 97 Abs. 1 Satz 1 UrhG verpflichtet, es zu unterlassen, die Software „S“ öffentlich zugänglich zu machen, ohne zugleich den Lizenztext der GPL beizufügen und entweder den Sourcecode öffentlich zugänglich zu machen oder auf einem Datenträger jedermann zur Verfügung zu stellen.. Die Verfügungsbekl. hat das Urheberrecht der Verfügungskl. verletzt, indem sie es [das Computerprogramm] am 5.5.2015 zum Download auf ihrer Homepage angeboten und damit gem. § 69c Satz 1 Nr. 3 UrhG verbreitet hat.. Die Verfügungsbekl. hat damit das ausschließliche Nutzungsrecht der Verfügungskl. verletzt. Ein eigenes Nutzungsrecht der Verfügungsbekl. bestand nicht. Denn zwischen den Parteien ist hierüber keine Vereinbarung getroffen worden. Insb. ist der Verfügungsbekl. gerade kein Nutzungsrecht auf Grundlage der GPL erteilt worden, da diese nach dem unstreitigen Parteivorbringen beim Download des Programms nicht vorlagen. Damit fehlt es an der Einräumung eines Nutzungsrechts für die Verfügungsbekl., sodass sie in keinem Fall berechtigt war, das Programm der Verfügungskl. zu verbreiten.. Die Rechtsverletzung der Verfügungsbeklagten indiziert die Wiederholungsgefahr. Diese ist nicht durch die Unterlassungserklärung vom 4.6.2015 (Bl. 125 d. A.) entfallen. Eine solche Unterlassungserklärung muss ernsthaft, unbefristet, vorbehaltlos und strafbewehrt sein (vgl.
42 LG Hannover v. 21.7.2015 – 18 O 159/15 (rechtskräftig), BeckRS 2016, 07419.
230
Länderbericht Deutschland
Dreier/Schulze, Urhebergesetz, 3. Aufl., § 97 RN 42 m. w. N.). Diesen Anforderungen wird die Unterlassungserklärung vom 4.6.2015 nicht gerecht. Die darin enthaltene auflösende Bedingung ist angesichts ihrer unklaren Formulierung nicht hinreichend bestimmt. So ist eine „Klärung des zu unterlassenden Verhaltens“ auch dann denkbar, wenn das Verbreiten des Computerprogramms der Klägerin durch die Verfügungsbeklagte als rechtswidrig eingestuft werden würde. Ebenso bleibt offen, was unter einer allgemein verbindlichen höchstrichterlichen Rechtsprechung zu verstehen sein soll; so stellt sich etwa die Frage, ob dies die Rechtsprechung des Bundesgerichtshofs oder des Europäischen Gerichtshofes meint. Angesichts dieser unklaren Formulierungen ist hier nicht von einer vorbehaltlosen Unterlassungserklärung auszugehen.“ Fazit:
64
Die Nutzung einer Open Source Software ohne Erfüllung der Lizenzbedingungen stellt eine Urheberrechtsverletzung dar. Die Rechtsverletzung indiziert zudem eine Wiederholungsgefahr. Eine Unterlassungserklärung, die unter der auflösenden Bedingung einer allgemein verbindlichen höchstrichterlichen Rechtsprechung abgegeben wird, ist unzureichend, da sie nicht hinreichend bestimmt ist.
231
DGRI 3-Länder-Treffen 2017 Update im Ländervergleich Länderbericht Österreich Georg Huber* I. Einleitung II. Haftung von Providern und Persönlichkeitsrechte III. Urheberrrecht – Beispiele aus der aktuellen höchstgerichtlichen Judikatur
VI. Marken- und Domainrecht – Beispiele aus der aktuellen höchstgerichtlichen Judikatur VII. Überblick über relevante Gesetze VIII. Zusammenfassung und Fazit
IV. Lauterkeitsrecht – Beispiel aus der aktuellen höchstgerichtlichen Judikatur V. Datenschutzrecht – Beispiele aus der aktuellen höchstgerichtlichen Judikatur
I. Einleitung Dieser Beitrag stellt eine Verschriftlichung des vom Autor am 30.6.2017 1 in Innsbruck gehaltenen Vortrages beim „DGRI 3-Länder Treffen 2017“ dar. Es handelt sich dabei um den österreichischen Länderbericht für die Jahre 2016 und 2017. Neben kurzen Darstellungen der Rechtslage in Österreich werden v. a. Beispiele aus der höchstgerichtlichen Judikatur dargestellt. Insbesondere wird auf die Themen Haftung von Providern, Persönlichkeitsrechte, Urheberrecht, Lauterkeitsrecht, Datenschutzrecht sowie Marken- und Domainrecht näher eingegangen.
* Rechtsanwalt Dr. Georg Huber, LL.M., Innsbruck, www.lawfirm.at.
233
Georg Huber
II. Haftung von Providern und Persönlichkeitsrechte 1. Gesetzliche Grundlagen der Provider-Haftung in Österreich a) Access-Provider 2 Gemäß § 13 ECG haftet ein Diensteanbieter (Access Provider) nicht für die reine Übermittlung von Informationen in einem Kommunikationsnetz, die ein Nutzer eingegeben hat. 3 Diese Haftungsfreistellung steht jedoch einer gerichtlichen Anordnung nicht entgegen, die einen Access Provider verpflichtet, den Zugang seiner Kunden zu seiner Website zu sperren, wenn ohne die Zustimmung des Inhabers eines dem Urheberrecht verwandten Schutzrechtes (im Sinne von Art. 8 Abs. 3 der Richtlinie 2001/29) Filme der Öffentlichkeit zugänglich gemacht werden. Laut EuGH1 (und in der Folge OGH2) ist nämlich der Anbieter von Internetzugangsdiensten „an jeder Übertragung einer Rechtsverletzung im Internet zwischen einem seiner Kunden und einem Dritten zwingend beteiligt, da er durch die Gewährung des Zugangs zum Netz diese Übertragung möglich macht.“ Somit ist auch ein Anbieter von Internetzugangsdiensten ein Vermittler, dessen Dienste zur Verletzung eines Urheberrechts (oder eines verwandten Schutzrechts) genutzt werden und dieser kann dazu verpflichtet werden, den Zugang seiner Kunden zu sperren. b) Host- Provider 4 Auch ein Host-Provider haftet gemäß § 16 (2) ECG nicht für gespeicherte Daten, wenn bei ihm keine Kenntnis oder kein Bewusstsein rechtswidriger Inhalte vorliegt und er die rechtswidrigen Inhalte ab Kenntnis bzw. Bewusstsein unverzüglich entfernt. c) Informationspflicht 5 Dessen ungeachtet sind jedoch sowohl Access- als auch Host-Provider gemäß § 18 ECG verpflichtet, auf gerichtliche Anordnung hin alle Informationen über ihre Nutzer herauszugeben, um strafbare Handlungen zu verhindern, zu verhüten, zu ermitteln oder zu verfolgen.
1 EuGH v. 27.3.2014 – C-314/12. 2 OGH v. 19.5.2015 – 4 Ob 22/15m.
234
Länderbericht Österreich
2. Beispiele aus der aktuellen höchstgerichtlichen Judikatur a) Haftung für fremdes Posting auf Facebook-Seite (OGH v. 22.12.2016 – 6 Ob 244/16z) Der österreichische Oberste Gerichtshof hatte sich Ende 2016 mit der 6 Frage der Rechtzeitigkeit der Erfüllung der Löschungspflicht des Providers nach § 16 (1) Z 2 ECG im Zusammenhang mit einer möglichen Persönlichkeitsverletzung zu beschäftigen. In diesem Verfahren postete ein Nutzer auf der Facebook-Seite eines parlamentarischen Klubs „Was meint der enthirnte grüne Psychopath „W*****“ [= der Kläger, ein Abgeordneter zum Nationalrat und Mitglied des Grünen Klubs] dazu???“. Das Posting bezog sich auf den Sprengstoffanschlag von Ansbach in Bayern. Dieses Posting wurde vom beklagten Klub erst neun Tage nach Erlangung von deren Kenntnis darüber von der Facebook-Seite gelöscht. Der OGH stellte dazu fest, dass ein Betreiber einer Facebook-Seite ein 7 Host-Provider i. S. d. § 16 ECG ist, da er es Nutzern ermöglicht, von ihnen eingegebene Informationen auf seiner Website zu speichern. Zur Frage, wann ein Host-Provider Kenntnis von oder Bewusstsein über 8 rechtswidrige Postings hatte, verwies der OGH auf seine bisherige Judikatur. Demnach ist auf die Fähigkeiten eines juristischen Laien abzustellen und danach zu fragen, ob diesem ein beleidigendes Werturteil ohne Tatsachensubstrat erkennbar ist3. Dies war hier der Fall, da es sich um ein für einen juristischen Laien ganz klar beleidigendes Werturteil ohne jegliches Tatsachensubstrat handelte. Eine Löschung erst neun Tage nach Kenntnis davon ist jedenfalls nicht „unverzüglich“ und somit nicht rechtzeitig. b) Bekanntgabe von Nutzerdaten (OGH v. 30.1.2017 – 6 Ob 188/16i) Dieselbe Rechtsansicht vertrat der OGH in einem späteren, Persönlich- 9 keitsverletzungen und Informationspflichten betreffenden Verfahren. Dabei ging es unter anderem um das Posting in einem Online-Forum des Beklagten „Er ist ein echtes Charaktersch.. und die Bundesregierung und die Stadt Wien sponsern ihn auch noch“. Außerdem wurde der spätere Kläger auch noch mit Joseph Göbbels verglichen. Der Kläger hatte diesen Unmut auf sich gezogen, weil in einem Druckwerk seiner Mediengruppe das Foto eines unbeteiligten Dritten anstelle des Bildes jenes Germanwings-Kopiloten, der ein Flugzeug vorsätzlich zum Absturz brachte, veröffentlicht wurde. 3 RIS-Justiz RS0114374.
235
Georg Huber
10 Laut OGH stellen auch diese Postings ganz klar Ehrenverletzungen dar. Dem Beklagten konnte in diesem Fall aber kein Vorwurf einer verspäteten Entfernung gemacht werden, da er nicht schon vor Zustellung der Klage Kenntnis vom ehrenverletzenden Posting hatte und das Posting noch am Tag der Klagszustellung gelöscht wurde. 11 Der OGH nahm in diesem Verfahren auch dazu Stellung, welcher Grad an Wahrscheinlichkeit einer Verurteilung wegen des Postings vorliegen müsse, damit den Host-Provider eine Pflicht zur Löschung nach § 18 ECG trifft. Dazu verwies er auf seine bereits bestehende Judikaturlinie, wonach eine Verurteilung „nicht gänzlich ausgeschlossen“ sein darf4 bzw. eine solche möglich erscheinen muss5. c) Online-Diskussionsforum mit „Prämoderation“ (OGH v. 27.2.2017 – 6 Ob 12/17h) 12 Zum Verständnis dieses Urteils ist vorab der Begriff der Prämoderation zu erklären. Darunter versteht man, dass Postings teilweise automatisch auf eine allfällige Rechtswidrigkeit überprüft und gegebenenfalls manuell freigeschaltet werden. 13 Der OGH stellte dazu fest, dass alleine eine solche Prämoderation Beiträge nicht zum „eigenen Inhalt“ des Host-Providers macht, sondern dass auch im Falle einer Prämoderation alleine der Eindruck des Nutzers entscheidet, ob es sich um einen „fremden Inhalt“ i. S. d. § 16 (1) ECG handelt oder nicht. Ungeachtet dessen betonte der OGH, dass nach wie vor eine Löschungspflicht des Providers nach § 16 (1) Z 2 ECG besteht. d) Persönlichkeitsverletzung durch Autocomplete-Funktion (OGH v. 22.12.2016 – 6 Ob 241/16h und OGH v. 30.1.2017 – 6 Ob 247/16s) 14 In diesen beiden Verfahren ging es darum, dass Suchmaschinen wie Google und Yahoo bei der Suchfunktion Begriffe miteinander verknüpfen (Autocomplete-Funktion). Konkret verknüpfte die Autocomplete-Funktion der Beklagten den früheren Namen der Klägerin mit den Namen eines Ortes in den Niederlanden, an dem die Klägerin früher als Zahnärztin tätig war, sowie das Wort Zahnarzt mit dem nunmehrigen Namen der Klägerin. Dem OGH war nicht ersichtlich, warum durch diese Verknüpfungen berechtigte Interessen der Klägerin beeinträchtigt werden sollten,
4 Vgl. OGH v. 23.1.2014 – 6 Ob 133/13x; OGH v. 15.12.2014 – 6 Ob 188/14m. 5 Vgl. OGH v. 15.12.2014 – 6 Ob 188/14m.
236
Länderbericht Österreich
weshalb ihm die von ihr behaupteten Schadenersatz-, Löschungs- und Unterlassungsbegehren als nicht gerechtfertigt erschienen. Jedoch stellte der OGH fest, dass durch diese Autocomplete-Funktion 15 entstehende Inhalte „eigene Inhalte“ der Suchmaschinenbetreiberin darstellen und somit eine Haftung derselben für allfällige Persönlichkeitsverletzungen besteht. Darüber hinaus erörterte der OGH in dieser Entscheidung die Frage, ob 16 ein allgemeines Recht auf Unterlassung der Namensnennung besteht. Er verneinte ein solches und stellte fest, dass sich eine Rechtswidrigkeit nur aus dem Inhalt der damit verbundenen Aussage ergeben kann, also z. B. einer rufschädigenden oder einer bloßstellenden Aussage. Die schlichte Nennung des Namens verstößt demgegenüber nur gegen Persönlichkeitsrechte gemäß § 16 ABGB, wenn schutzwürdige Interessen beeinträchtigt werden. Ansonsten überwiegt das allgemeine Informationsrecht, welches eine schlichte Namensnennung rechtfertigt. Hinsichtlich der internationalen Zuständigkeit in Sachen Persönlich- 17 keitsverletzungen im Internet führte der OGH in dieser Entscheidung aus, dass eine in ihrem Persönlichkeitsrecht potentiell verletzte Person gemäß Art. 5 (3) EuGVVO die Wahl hat, ob sie die Klage auf Ersatz des entstandenen Schadens entweder bei den Gerichten jenes Mitgliedstaats, –
in dem der Urheber dieser Inhalte niedergelassen ist,
–
in dem sich der Mittelpunkt ihrer Interessen befindet, oder
–
in dessen Hoheitsgebiet ein im Internet veröffentlichter Inhalt zugänglich ist oder war (diese Gerichte sind aber nur für die Entscheidung über den Schaden zuständig, der im Hoheitsgebiet des Mitgliedstaats des angerufenen Gerichts verursacht worden ist)
geltend macht. e) „The Pirate Bay“-Websites (OGH v. 3.5.2017 – 4 Ob 175/16 p) In diesem Verfahren begehrte eine Verwertungsgesellschaft, einem 18 Access-Provider mit einstweiliger Verfügung zu verbieten, Internetkunden den Zugang zu verschiedenen „thepiratebay“-Websites zu vermitteln, wenn über diese Seiten Tonträgeraufnahmen ohne Zustimmung der Verwertungsgesellschaft öffentlich zur Verfügung gestellt werden. Es stellte sich in diesem Verfahren die Frage, ob ein System, das Meta- 19 information über geschützte Werke indexiert und Nutzern hilft, diese zu finden, eine öffentliche Wiedergabe i. S. v. Art 3 (1) RL/2001/29/EG darstellt. Der OGH unterbrach dieses Verfahren aus prozessökonomischen 237
Georg Huber
Gründen, ohne eine Antwort auf diese Frage zu geben, da dem EuGH ein Vorabentscheidungsersuchen mit einer dieses Verfahren beeinflussenden Frage vorlag. Der EuGH sprach dazu (unter Erwägung einer Vielzahl von hier nicht näher auszuführenden Umständen6) aus, dass das Anbieten einer Suchmaschine, die es Nutzern ermöglicht, geschützte Werke aufzufinden und im Rahmen eines „peer-to-peer“-Netzwerkes zu teilen, eine öffentliche Wiedergabe i. S. d. Art 3 (1) RL/2001/29/EG darstellt. f) Immaterielle Schäden bei postmortaler Persönlichkeitsverletzung (OGH v. 22.12.2016 – 6 Ob 209/16b) 20 Schließlich hatte sich der OGH mit der Frage zu beschäftigen, ob die nahen Angehörigen eines Verstorbenen zur Geltendmachung von aus Verletzung eines Persönlichkeitsrechts des Verstorbenen resultierenden Unterlassungsansprüchen legitimiert sind. Im konkreten Fall ging es um einen Bericht über den Drogentod des Sohnes der Klägerin samt Foto in einer Zeitung und eine daraus resultierende Verletzung des Bildnisschutzes des Verstorbenen. Der OGH stellte fest, dass die Klägerin als nahe Angehörige zwar klagslegitimiert sei, dass der Ersatz immaterieller Schäden in diesem Fall jedoch grundsätzlich ausgeschlossen ist. Ein solcher steht nahen Angehörigen lediglich zu, wenn diese „unmittelbar betroffen“ sind. Dies wäre z. B. anzunehmen, wenn die Eltern (wenn auch nur indirekt) für den Drogentod des Sohnes verantwortlich gemacht würden. III. Urheberrecht – Beispiele aus der aktuellen höchstgerichtlichen Judikatur 1. Speichermedienvergütung nach § 42b UrhG unionsrechtskonform; Austro Mechana/Amazon Gesellschaft IV (OGH v. 21.2.2017 – 4 Ob 62/16w) 21 § 42b UrhG ist laut dieser Entscheidung des OGH i. V. m. Art. 5 (2) lit b Info-RL unionsrechtskonform dahingehend zu verstehen, dass eine Zahlungspflicht bei erstmaligem entgeltlichen Inverkehrbringen eines Speichermediums (Anknüpfung an die erste Handelsstufe) nur dann besteht, wenn die Lieferung an einen Zwischenhändler oder eine private Person, die das Material nicht für ihr Unternehmen bezieht, erfolgt. Bei privaten Endnutzern wird die „Vervielfältigung“ also unwiderlegbar vermutet.
6 Näheres siehe EUGH v. 14.6.2017 – C-610/15.
238
Länderbericht Österreich
Wird das Speichermedium demgegenüber an juristische Personen oder 22 an Private, die die Medien für kommerzielle Zwecke nutzen, weitergegeben, besteht laut OGH keine Ausgleichspflicht. Verkauft hingegen ein Zwischenhändler Medien an eine juristische oder eine nicht kommerziell nutzende private Person, so besteht bei Überwälzung der Abgabe ein Rückerstattungsanspruch. Weiters führt der OGH in dieser Entscheidung aus, dass das in Österreich 23 praktizierte System der Rückerstattung und Vorabfreistellung aufgrund der praktischen Schwierigkeiten beim Anknüpfen an den Händler erster Stufe gerechtfertigt und unionsrechtlich zulässig ist. Die Zuständigkeit österreichischer Gerichte ergab sich in diesem Verfahren aus Art. 5 Nr 3 EuGVVO (Geldschulden sind Bringschulden, § 907a (1) ABGB). 2. Telefonrechnung über 10.000 Euro wegen Hackerangriff (OGH v. 15.6.2016 – 4 Ob 30/16i) Die Klägerin dieses Verfahrens (ein Access-Provider) stellte der Beklag- 24 ten seit Jahren Telefon- und Internetverbindung für ihre Geschäftsräume zur Verfügung. Dafür verrechnete die Klägerin der Beklagten monatlich ca. 210,- Euro an Entgelten, bis im Jahre 2014 ein Hackerzugriff auf die Telefonanlage der Beklagten von außen erfolgte und zu einer Rechnungssumme i. H. v. 10.160,14 Euro führte. Der OGH führte dazu aus, dass die Gefahr eines Hackerangriffes für Ac- 25 cess-Provider leichter beherrschbar ist als für den Endkunden. Zwar sind die Schutz- und Sorgfaltspflichten des Providers demnach nicht extensiv auszulegen, jedoch sind Gebührenmonitoring und Warnungen an Nutzer sehr wohl zumutbar. 3. Urheberrecht – Internationale Zuständigkeit (OGH v. 21.2.2017 – 4 Ob 137/16z) In diesem Verfahren verklagte eine Verwertungsgesellschaft einen lu- 26 xemburgischen Rundfunksender wegen Urheberrechtsverletzungen. Konkret behauptete die Verwertungsgesellschaft, der Rundfunksender biete entgeltlich unverschlüsselte Satellitensender an, wobei unter anderem sogar geschützte Werke gesendet würden. Unstrittig war laut Ansicht des OGH, dass die Satelliten-RL und § 17b 27 UrhG keine Bestimmungen zur internationalen Zuständigkeit enthalten, sondern dass dort lediglich eine „öffentliche Wiedergabe“ definiert wird (Handlung der Eingabe des Satelliten-Signals, Sendelandprinzip). 239
Georg Huber
Zu lösen war die Frage der internationalen Zuständigkeit in diesem Verfahren also mithilfe von Art. 7 Nr. 2 EuGVVO, demzufolge sich die Zuständigkeit nach dem Handlungs- oder Erfolgsort richtet. IV. Lauterkeitsrecht – Beispiel aus der aktuellen höchstgerichtlichen Judikatur Zugriff auf Kundendaten des Konkurrenten (OGH v. 25.10.2016 – 4 Ob 165/16t) 28 In diesem Verfahren wurde vom OGH der Begriff des „Geschäftsgeheimnisses“ aus Anlass des Falles untersucht, dass ein Mitbewerber aufgrund von Sicherheitslücken auf passwortgeschützte Daten von Kunden des Konkurrenten zugreifen konnte. Das Höchstgericht stellte dazu im Wesentlichen fest, dass Sicherheitslücken alleine nicht darauf schließen lassen, dass ein Unternehmer an einer Geheimhaltung kein Interesse hätte. Ein gezieltes Ausnützen solcher (ungewollter) Schutzlücken macht den Datenzugriff daher in jedem Fall rechtswidrig. 29 Dieser Rechtsansicht stehe auch die RL (EU) 2016/943 nicht entgegen, da zum einen die Forderung von „angemessenen Geheimhaltungsmaßnahmen“ das Erreichen der mit der Richtlinie verfolgten Ziele nicht ernsthaft gefährdete und zum anderen Mitgliedstaaten auch nach Umsetzung der RL einen weiter reichenden Schutz von Geschäftsgeheimnissen vorsehen können. V. Datenschutzrecht – Beispiele aus der aktuellen höchstgerichtlichen Judikatur 1. Dashcam mit Speichermöglichkeit (VwGH v. 12.9.2016 – Ra 2015/04/001) 30 In diesem Fall stellte der VwGH fest, dass die durch eine Dashcam vorgenommene Datenanwendung in ihrer Gesamtheit eine Verarbeitung personenbezogener Daten darstellt. Begründet wird dies u. a. damit, dass nach dem DSG auch eine Echtzeitüberwachung eine Datenanwendung darstellt. Auch die Tatsache, dass die Ereignisse nicht in einem räumlich abgegrenzten Gebiet stattfinden, vermag an der Anwendbarkeit des DSG nichts zu ändern, da grundsätzlich darauf abzustellen ist, dass ein bestimmtes Objekt (oder eine Person) von der Überwachung betroffen (!) ist und nicht darauf, was tatsächlich erfasst wird. 240
Länderbericht Österreich
Schließlich unterzog der VwGH den Sachverhalt einer Verhältnismäßig- 31 keitsprüfung und kam zu dem Schluss, dass eine Echtzeitaufnahme, bei der im Falle eines Unfalls die letzten 60 Sekunden gespeichert werden und zusätzlich ein „SOS-Button“ besteht, welcher eine dauerhafte Speicherung auch ohne Unfall ermöglicht, jedenfalls unverhältnismäßig ist. 2. Auskunftsrecht post mortem (VwGH v. 23.11.2016 – Ra 2016/04/0044) Anlässlich eines Falles, in welchem ein Konkursverfahren über das Ver- 32 mögen einer Verlassenschaft (wegen „veruntreuter Klientengelder“) eröffnet wurde und der Masseverwalter von einem Kreditschutzverband eine Auskunft darüber wollte, wer Bonitätsabfragen über den Verstorbenen gemacht hat, hatte der VwGH sich mit Persönlichkeitsrechten post mortem zu beschäftigen. Konkret sprach er in diesem Urteil aus, dass ein Auskunftsrecht keinen vermögensrechtlichen Anspruch darstellt, sondern ein höchstpersönliches Recht ist. Weiters vertrat der VwGH die Ansicht, dass dieses Auskunftsrecht mit dem Tod des Berechtigten erlischt und eine Geltendmachung durch die Rechtsnachfolger nicht möglich ist. 3. Erbkrankheit des Sohnes (OGH v. 29.11.2016 – 6 Ob 148/16 g) Auch der OGH hatte im Jahre 2016 über eine datenschutzrechtliche Fra- 33 ge auszusprechen. In diesem Verfahren ging es darum, dass ein Pflegschaftsgericht Informationen über Krankheiten eines verstorbenen Kindes im Rahmen eines Adoptionsverfahrens weitergab. Der OGH führte dazu aus, dass Daten des Kindes i. d. R. keine personenbezogenen Daten der Eltern darstellen. Die Tatsache, dass es sich bei den Daten um solche über eine Erbkrankheit des Verstorbenen handle, könnte insofern etwas daran ändern, als es sich dabei möglicherweise zugleich um Daten derjenigen Person handelt, von der das verstorbene Kind abstammt. Im konkreten Fall wurde dies jedoch verneint, da es sich nicht um eine Erbkrankheit, sondern um eine genetische Mutation handelte. VI. Marken- und Domainrecht – Beispiele aus der aktuellen höchstgerichtlichen Judikatur 1. stubhub.at – Marke vs. Domain – internationale Zuständigkeit (OGH v. 20.12.2016, 4 Ob 45/16 w) Die Klägerin dieses Verfahrens, eine US-amerikanische Aktiengesell- 34 schaft, ist (u. a.) Inhaberin der Unionsmarke „Stubhub“. Nun registrierte ein in Deutschland wohnhafter Dritter die Domains „stubhub.at“ und 241
Georg Huber
„stubhub.ch“. Die Klägerin beantragte die Übertragung dieser beiden Domains, in eventu die Löschung derselben. 35 Im Hinblick auf die Frage der Verletzung der Unionsmarke nach der UMV ist laut OGH zur Klärung der internationalen Zuständigkeit Art. 97 (5) UMV anzuwenden, demzufolge die Zuständigkeit (nur) bei den Gerichten des Handlungsortes liegt. In diesem Fall war das der Ort der Einleitung der Registrierung der Domain, also Deutschland, weshalb sich der OGH für unzuständig erklärte. 36 Hinsichtlich möglicher Ansprüche der Klägerin nach dem UWG ist hingegen Art. 5 Nr. 3 EuGVVO maßgeblich. In Bezug auf die Löschung bzw. Übertragung der Domain ist demnach nur der Registrierungsstaat zuständig, in Bezug auf den Unterlassungsanspruch hält der OGH hingegen fest, dass dieser auf die Abrufbarkeit einer Website in einem bestimmten Staat eingeschränkt werden kann. 2. sportsdirect.com – Unternehmensbezeichnung als Domain (OLG Wien v. 26.7.2016 – 34 R 67/16x) 37 In diesem Verfahren beantragte die Sportsdirect Retail Ltd. die Wortmarke „Sportsdirect.com“ mit der Argumentation, es sei eine vielfältige Auslegung der Marke möglich. So könnte man darunter bspw. „Sportarten führen/leiten“ verstehen. Ein Rückschluss auf das Geschäftsmodell sei deshalb nicht möglich. 38 Das OLG entgegnete dieser Argumentation, dass sowohl „sports“ als auch „direct“ bloß beschreibende Hinweise und nicht eintragungsfähig sind. Abzustellen ist in diesem Fall auf das Verständnis der beteiligten Verkehrskreise und diese verstehen darunter nach Auffassung des OLG, dass ein direkter Bezug von Sportartikeln möglich ist. Die Aufnahme des Bestandteiles „.com“ verstärke dieses Verständnis sogar noch. VII. Überblick über relevante Gesetze 1. Datenschutzanpassungsgesetz 39 Am 27.6.2017 wurde das Datenschutzanpassungsgesetz im Plenum des Nationalrates beschlossen. Wesentliche Neuerungen dieses Anpassungsgesetzes sind zum einen die Neuregelung von Bildrechten und der Umstand, dass es nur für personenbezogene Daten natürlicher Personen gilt. Das bestehende verfassungsrechtlich geschützte Grundrecht auf Datenschutz blieb mangels qualifizierter Mehrheit im Parlament unangetastet. Dies hat zur Folge, dass Unklarheiten bestehen, ob Daten juristischer Personen weiterhin geschützt sind, da das Grundrecht für „jedermann“ gilt. 242
Länderbericht Österreich
2. Digitale Autobahn-Vignette – BGBl Diese Novelle ermöglicht nunmehr den Erwerb einer digitalen Vignette 40 und die Registrierung des Kennzeichens im Mautsystem. Darüber hinaus wurde eine „Vignettenevidenz“ eingerichtet und es wurden rechtliche Grundlagen für eine automatische Vignettenkontrolle geschaffen. 3. Bestpreisklausel von Buchungsplattformen Weiter wurde die „schwarze Liste“ im UWG dahingehend ergänzt, dass 41 nunmehr eine Bestpreisklausel von Buchungsplattformen (also das Verlangen eines Betreibers einer Buchungsplattform gegenüber einem Beherbergungsunternehmen, dass dieses auf anderen Vertriebswegen inklusive seiner eigenen Webseite keinen günstigeren Preis oder keine anderen günstigeren Bedingungen als auf der Buchungsplattform anbieten darf) ex lege nichtig ist, was auch von Mitbewerbern durchgesetzt werden kann. 4. Verwertungsgesellschaftengesetz 2016 Mit dem Verwertungsgesellschaftsgesetz 2016 wurde in Österreich die 42 RL 2014/26/EU umgesetzt. Die gesetzliche Lage wurde damit umfassend überarbeitet und neugeordnet. Insbesondere wurde der Abschnitt über die Mitgliedschaft und die Unternehmensverfassung neu geregelt. Darüber hinaus wurden die Rechte und Pflichten gegenüber Rechtsinhabern und Nutzern konkretisiert, die Transparenz- und Berichtspflichten ausgebaut, Sondervorschriften für Verwertungsgesellschaften, die Mehrgebietslizenzen für Online-Rechte an Musikwerken vergeben, geschaffen, das Beschwerdemanagement, die alternativen Streitbeilegungsmechanismen und schließlich der Aufgabenbereich der Aufsicht über die Verwertungsgesellschaft ausgebaut. VIII. Zusammenfassung und Fazit Die obersten Gerichte in Österreich hatten sich in den Jahren 2016 und 43 2017 mit einer Vielzahl von Fällen betreffend „Recht und Informatik“ i. w. S. zu beschäftigen. Die Gerichte gingen in diesen Entscheidungen wenig von der bereits bestehenden Rechtsprechungslinie ab, was grundsätzlich begrüßenswert scheint, da so Rechtssicherheit geschaffen wird. Einige Neuerungen gab es demgegenüber in legislativer Hinsicht, wobei die im letzten Punkt dieses Aufsatzes kurz ausgeführten Neuerungen lediglich einen (den Autor in diesem Zusammenhang wesentlich erscheinenden) Auszug darstellen.
243
Automatisierung im Internet – Urheber- und äußerungsrechtliche Implikationen Graziana Kastl-Riemann* I. Einführung II. Geschichtliche, rechtliche und soziologische Hintergründe zur Automatisierung
IV. Rechtliche Implikationen der Automatisierung V. Resümee und Ausblick
III. Ausgesuchte Phänomene der Automatisierung im Internet
Literaturübersicht: Guggenberger, Das Netzwerkdurchsetzungsgesetz in der Anwendung, NJW 2017, 2577; Kalscheuer/Hornung, Das Netzwerkdurchsetzungsgesetz – Ein verfassungswidriger Schnellschuss, NVwZ 2017, 1721; Kastl, Automatisierung im Internet, Urheber- und äußerungsrechtliche Implikationen, 1. Aufl., Nomos 2016; Krupar, Die rechtliche Behandlung algorithmischer Kommunikate, DRITB 2017, 275; Leistner, „In jedem Ende liegt ein neuer Anfang“ – das BGH-Urteil „Vorschaubilder III“, seine Bedeutung für die Bildersuche und für die weitere Entwicklung des Haftungssystems im Urheberrecht, ZUM 2018, 286; Maier/Schaller, ePrivacy-VO – alle Risiken der elektronischen Kommunikation gebannt?, ZD 2017, 373; Nolte, Hate-Speech, Fake-News, das „Netzwerkdurchsetzungsgesetz“ und Vielfaltsicherung durch Suchmaschinen, ZUM 2017, 552; Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Sieber/Liesching, Die Verantwortlichkeit der Suchmaschinenbetreiber nach dem Telemediengesetz, MMR-Beilage 2007, 1; von Schenck/Mueller-Stöfen, Die Datenschutz – Grundverordnung: Auswirkungen in der Praxis, GWR 2017, 171.
I. Einführung Die Automatisierung ist alltäglicher Bestandteil des Online-Erlebnisses 1 und zunehmend findet auch der Alltag weitgehend online statt. Hinter den immer komfortabler und gleichzeitig immer undurchschaubarer werdenden Funktionen im Internet verbergen sich komplexe technische Prozesse, deren vielschichtige rechtliche Implikationen noch lange nicht abschließend erforscht sind. Die Dissertation befasst sich mit vorwiegend urheber- und äußerungsrechtlichen Auswirkungen ausgesuchter
* Rechtsanwältin Dr. Graziana Kastl-Riemann, KNPZ Rechtsanwälte, Hamburg.
245
Graziana Kastl-Riemann
Internet-Phänomene und legt dabei den Fokus auf deren gemeinsame Wurzel: den automatisierten Ablauf1. Ausgangspunkt ist, dass die Automatisierung heutzutage nicht mehr nur in bestimmten Spezialbereichen beim Einsatz von Maschinen oder Robotern eine Rolle spielt, sondern algorithmisch gesteuerte Abläufe generell das alltägliche Online-Erlebnis bestimmen und so die informationstechnische Automatisierung nahezu jeden Internetsachverhalt prägt. Dabei haben sich insbesondere das Urheber- und das Persönlichkeitsrecht als Leidtragende dieses breitenwirksamen Einsatzes der Automatisierung im Internet herausgestellt. Eine Thematisierung der damit einhergehenden Problematik durch Rechtsprechung und Rechtswissenschaft erfolgte bislang vorwiegend unter einzelnen Gesichtspunkten wie dem der Haftung der Intermediäre und deren Sorgfaltspflichten sowie unter einzelnen urheberrechtlichen Aspekten. Die Untersuchung im Rahmen der Dissertation legt den Fokus auf deren gemeinsame Wurzel, um dessen allgemeiner Bedeutung für die vorbenannten Rechtsgebiete näher zu kommen. Der Begriff der Automatisierung wird hierbei nicht streng technisch verstanden, sondern dient der abstrakten Beschreibung des Phänomens selbständig ablaufender Prozesse im Internet, die ganz unterschiedlicher technischer Natur sein können. Einsatzformen der Automatisierung, die zur Verletzung von Rechten führen, werden jenen gegenübergestellt, die Rechtsverletzungen automatisch verhindern sollen, um die Rollen der Automatisierung in der dynamischen Interaktion von Rechteinhabern, Dienstanbietern und Nutzern zu identifizieren. Der vorliegende Beitrag soll nicht nur einen Überblick über die Herangehensweise und Ergebnisse der Dissertation bieten, sondern auch den Bogen spannen hin zu einigen neueren Entwicklungen auf diesem Gebiet, um aufzuzeigen, dass hier nicht nur Raum, sondern auch die Notwendigkeit für wissenschaftliche Anknüpfung besteht. II. Geschichtliche, rechtliche und soziologische Hintergründe der Automatisierung 2 Zur anschaulichen Heranführung an den zugrunde gelegten Untersuchungsgegenstand befasst sich Kapitel § 2 der Arbeit zunächst mit einem weit gefächerten Überblick über Grundlagen und Hintergründe2. Nach einer Erörterung zum Begriff der Automatisierung, einem geschichtlichen Überblick und einer Erarbeitung der allgemeinen Zwecke der Auto-
1 S.a. Kastl, Zusammenfassung bei https://www.nomos-elibrary.de/10.5771/ 9783845276748/automatisierung-im-internet. 2 Kastl, Automatisierung im Internet, S. 39 ff.
246
Automatisierung im Internet
matisierung findet sich dort ein Überblick über wesentliche bisherige Begegnungen zwischen Recht und Automatisierung3. Dem werden die heutigen Mittel und Funktionsweisen der Automatisierung mithilfe von Algorithmen gegenübergestellt, die zum im Hauptteil angewandten Begriffsverständnis hinführen4. Abgerundet wird das Kapitel mit einer Erörterung wesentlicher gesellschaftlicher Implikationen durch die heutige Automatisierung, die als tatsächliche Auswirkungen dem folgenden Hauptteil vorangestellt werden, um die rechtlichen Erörterungen auf der Basis eines Bewusstseins für die soziologischen Auswirkungen zu platzieren, die in untrennbarem Zusammenhang mit der Fortentwicklung des Rechts stehen5. III. Ausgesuchte Phänomene der Automatisierung im Internet Das zentrale Kapitel § 3 der Dissertation befasst sich mit dem „rechtlich 3 relevanten Einsatz der Automatisierung“, wobei das Kapitel zweigeteilt ist. Im ersten Teil werden zunächst bekannte algorithmisch gesteuerte Phänomene des Online-Alltags, die bereits Konflikte mit Urheber- und Persönlichkeitsrechten hervorgerufen haben, herausgegriffen und auf ihre rechtlichen Implikationen untersucht (1). Der zweite Teil widmet sich sodann Einsatzformen der Automatisierung zur Verhinderung von Rechtsverletzungen (2). Dabei werden jeweils die unterschiedlichen Einsatzformen der Automatisierung in Kategorien eingeteilt, je nachdem wer sich der Automatisierung bedient, also Diensteanbieter einerseits und Nutzer bzw. einzelne Rechteinhaber andererseits6. Diese Herangehensweise dient dazu, sich dem Untersuchungsgegenstand aus allen denkbaren Blickwinkeln zu nähern, um die Rolle der Automatisierung für die gewählten Rechtskonflikte möglichst umfassend zu ergründen. 1. Rechtsverletzung durch Automatisierung In der Kategorie der „rechtsverletzenden Automatisierung“ wird unter- 4 schieden zwischen dem Einsatz der Automatisierung durch Diensteanbieter (a) und dem Einsatz der Automatisierung auf der Nutzerseite (b). Hierbei wird jeder Untersuchung ein grober Überblick über die technischen Hintergründe der jeweiligen Funktion vorangestellt, woran sich eine ausführliche Untersuchung der damit im Zusammenhang stehenden rechtlichen Fragen in Bezug auf Urheber- bzw. Persönlichkeitsrecht 3 4 5 6
Kastl, Automatisierung im Internet, S. 45 ff. Kastl, Automatisierung im Internet, S. 71 ff. Kastl, Automatisierung im Internet, S. 79 ff. Zur Herangehensweise s. Kastl, Automatisierung im Internet, S. 117 ff.
247
Graziana Kastl-Riemann
anschließt. Schließlich wird die Rolle der Automatisierung herausgearbeitet, um deren rechtlichen Implikationen für die untersuchungsgegenständlichen Rechtspositionen auf die Spur zu kommen. a) Einsatz der Automatisierung durch Diensteanbieter 5 Im Folgenden seien die einzelnen Themenfelder anhand der Gliederung in der Dissertation zusammenfassend angerissen und mit weiterführenden Verweisen ebenso wie Bezugnahmen zu aktuellen Entwicklungen versehen. aa) Thumbnails 6 Zu den technischen Hintergründen der mittlerweile zum InternetrechtsKlassiker gewordenen Thumbnail-Problematik der Google-Bildersuche sei nur gesagt7, dass die Anzeige der im Web auffindbaren Bilddateien in „Daumennagelgröße“ deshalb rechtliche Relevanz entfaltet haben, da sie auf Googles Servern zwischengespeichert und damit fremde Werke vervielfältigt und öffentlich zugänglich gemacht werden. Rechtsprechung und Literatur haben zahlreiche Lösungsmöglichkeiten möglicher Konfliktsituationen, in welchen Urheber sich gegen die Nutzung im Rahmen der Bildersuche zur Wehr setzen könnten bzw. es schon getan haben, vorgeschlagen8. Nach dem BGH unterfiel die Werknutzung schließlich einer schlichten Einwilligung des Urheberrechtsinhabers, der sein Werk ohne technische Schutzmaßnahmen ins Internet stellt9. Die Bestimmung der Rolle der Automatisierung knüpft direkt an die Thumbnail I und II-Rechtsprechung des BGH an, der diese zur Rechtfertigung der mit der Bildersuchmaschine verbundenen urheberrechtlichen Nutzungshandlungen heranzieht und daher von einer schlichten Einwilligung des Urheberrechtsinhabers bei Einstellen des Bildes ohne technische Schutzmaßnahmen gegen die Auffindbarkeit durch Suchmaschinen ausgeht. Die Automatisierung der Datenverarbeitung führt also dazu, dass mit einem technisch-automatisch geprägten Empfängerhorizont gerechnet werden und in gewissem Rahmen die Willenserklärung im Internet entsprechend technisch implementiert werden muss, um im Interesse der Allgemeinheit liegende nützliche Funktionen wie Bildersuchmaschinen zu ermöglichen10. Freilich können dadurch nicht
7 Ausführlicher s. Kastl, Automatisierung im Internet, S. 121 ff. 8 Dazu s. ausführlich Kastl, Automatisierung im Internet, S. 124 ff. 9 BGH v. 29.4.2010 – I ZR 69/08, CR 2010, 463 = ITRB 2010, 175 = NJW 2010, 2731 – Thumbnails I. 10 S. Kastl, Automatisierung im Internet, S. 166 ff.
248
Automatisierung im Internet
alle möglichen Konfliktsituationen im Rahmen der Bildersuche gelöst werden, sodass der automatisationsbedingte Kontrollverlust auf Seiten der Rechteinhaber durch entsprechende rechtliche Instrumente flankiert werden muss. Diese Erkenntnis führt nach der Verfasserin zur notwendigen Anwendung der §§ 7 ff. TMG bzw. Artt. 12 ff. ECRL, deren zugrundeliegende Regelungen zum Ausgleich der Privilegierungen der Diensteanbieter unverzügliche Entfernungs- und Sperrpflichten festlegen11. Die erst kürzlich veröffentlichte dritte und bislang letzte BGH-Entscheidung zum Thema Thumbnails12 eignet sich nur bedingt, um sie hier einzureihen, da die zugrunde liegende Fallkonstellation in mehrerlei Weise von den vorigen Thumbnail-Entscheidungen abweicht. Als primär die Frage der öffentlichen Wiedergabe betreffende Entscheidung, spielt sie vielmehr für das weiter unten im Beitrag aufgegriffene Thema „Hyperlinking“ eine Rolle13. bb) Screen Scraping Screen Scraping, das „Auskratzen von Bildschirmen“, wird insbesondere 7 von Preisvergleichs- und Flugvermittlungswebseiten zur Bereitstellung optimaler Angebote genutzt und berührt neben urheberrechtlichen vor allem wettbewerbsrechtliche Fragestellungen14. Eine Analyse der nationalen und EuGH-Rechtsprechung zu den betroffenen Fällen offenbart zunächst, dass die Datenbank-Richtlinie nach Wortlaut und Systematik ungleich wettbewerbsrechtlicheren Einschlag aufweist als die nationale Umsetzung in Form des urheberrechtlichen Leistungsschutzrechts des Datenbankherstellers. Auf der Suche nach der Erfüllung des Tatbestandsmerkmals der „Vervielfältigung“ (vgl. § 87b UrhG) tut sich die nationale Rechtsprechung daher schwerer, die – nicht zwingend eine Kopie im technischen Sinne erfordernde – Datenübernahme in Form des Screen Scrapings unter urheberrechtliche Tatbestände zu subsumieren15, was 11 So bereits: Sieber/Liesching, MMR-Beil. 2007, 1 (21); s.a. Generalanwalt beim EuGH, Schlussantrag v. 22.9.2009 – C-236, 237, 238/08, Rz. 71; angewandt bereits von AG Bielefeld v. 18.2.2005 – 42 C 767/04, CR 2006, 72 = ZUM-RD 2005, 355; im Ansatz nun auch LG Frankfurt a.M. v. 26.10.2017 – 2-03 O 190/16, BeckRS 2017, 132368, Rz. 36; LG Frankfurt a.M. v. 9.2.2017 – 2-03 S 16/16, ZUM 2017, 685, 689; ebenfalls dem Grunde nach OLG Köln v. 13.10.2016 – 15 U 189/15, BeckRS 2016, 18916 Rz. 93, s.a. Kastl, Automatisierung im Internet, S. 158 ff.; zu anderen Lösungsmöglichkeiten s. m.w.N. Kastl, a.a.O., 156 ff. 12 BGH v. 21.9.2017 – I ZR 11/16, GRUR 2018, 178 – Vorschaubilder III. 13 Zur Verknüpfung der Themenfelder s.a. Leistner, ZUM 2018, 286. 14 S. Kastl, Automatisierung im Internet, S. 169 ff. 15 M.w.N. Kastl, Automatisierung im Internet, S. 171 ff.
249
Graziana Kastl-Riemann
dem EuGH wegen des weiteren Begriffsverständnisses „Entnahme“ (vgl. Art. 7 Abs. 2 Datenbank-RL) mühelos gelingt16. Im Rahmen der wettbewerbsrechtlichen Beurteilung macht der BGH die Annahme der Unlauterkeit des Auslesens fremder Webseiten von der Umgehung hiergegen vorgenommener technischer Schutzmaßnahmen abhängig17, was wiederum an die Schlussfolgerung aus der Thumbnail-Rechtsprechung erinnert, nämlich dass im Internetverkehr entsprechend dem technisch-automatisch geprägten Empfängerhorizont Willenserklärungen gewissermaßen technisch implementiert werden müssen. Insgesamt scheint dadurch der BGH der durch Automatisierung ermöglichten Auswertung von Webinhalten offener gegenüberzustehen, während der EuGH der Screen Scraping-Webseite zumindest in dem von ihm entschiedenen Ausgangsfall die Rolle eines „parasitären Konkurrenzproduktes“ zuweist18. Nebenbei offenbart die Analyse der Thematik zudem, dass die Datenbankschutznormen des Urhebergesetzes dem Anwender gegenüber den technikneutraler formulierten EU-Normen bisweilen Stolpersteine in den Weg legen. cc) Autocomplete 8 Die mittlerweile selbstverständlich gewordene Autovervollständigungsfunktion („Autocomplete“) bei Suchmaschinen, die anhand bestimmter Kriterien – wie insbesondere Häufigkeit der Eingabe von bestimmten Suchwörtern – ab der Eingabe des ersten Buchstabens in die Suchmaske dem Nutzer Suchvorschläge unterbreitet, hat besonders durch den prominenten Fall der ehemaligen Bundespräsidenten-Gattin Bettina Wulff in der juristischen Öffentlichkeit und darüber hinaus große Aufmerksamkeit erfahren, welche nach der in einem anderen Fall hierzu ergangenen BGH-Entscheidung19 verhältnismäßig rasch wieder abgeflaut ist. Für die hiesige Dissertation hingegen darf das Thema als Herzstück der äußerungsrechtlichen Seite des Untersuchungsgegenstandes bezeichnet werden. Nach Ansicht der Verfasserin hat der Fall weit über die konkrete Erscheinungsform der Autovervollständigung hinaus eine Thematisierung der rechtlichen Einordnung algorithmisch-automatisch erzeugter Aussagen als neue äußerungsrechtliche Kategorie herbeigeführt, was seitdem und in Zukunft noch verstärkt und in variierten Ausformun16 M.w.N. Kastl, Automatisierung im Internet, S. 180 ff. 17 BGH v. 30.4.2014 – I ZR 224/12, ITRB 2014, 200 = BeckRS, 2014, 12115 – Flugvermittlung im Internet. 18 EuGH v. 9.10.2008 – C-304/07, CR 2009, 4 m. Anm. Milbradt/Hülsewig = MMR 2008, 807 (809, Rz. 48) – Directmedia Publishing GmbH; zur Rolle der Automatisierung Kastl, Automatisierung im Internet, S. 197 f. 19 BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 = ITRB 2013, 150 = MMR 2013, 535 – Autocomplete.
250
Automatisierung im Internet
gen eine Rolle spielen dürfte. In der Arbeit werden nach gewohntem Schema Funktionsweise20 und mögliche rechtliche Einordnungen21 der Autocomplete-Funktion systematisch aufgearbeitet bis hin zur Lösung durch den BGH, welcher im Ergebnis zugestimmt wird, nämlich, dass der Einsatz der Autocomplete-Funktion den Suchmaschinenbetreiber zum Täter (in der Diktion des Zivilsenat VI des BGH „unmittelbarer Störer“) einer Persönlichkeitsverletzung werden lässt, für die er jedoch im Umfang eines Störers – da durch Unterlassen – haftet22. Da der Inhalt erst aufgrund der Rechenleistung des Algorithmus entsteht, besteht kein Raum für eine reine Störer- oder Verbreiterhaftung, zumal der Suchmaschinenbetreiber der erste und einzige ist, der diesen errechneten Inhalt der Öffentlichkeit mitteilt. Nach Ansicht der Verfasserin handelt es sich allerdings aufgrund des technischen Entstehungsprozesses und dadurch theoretischen Beweisbarkeit der dem Ergebnis zugrunde liegenden Aussage (vereinfacht: „viele Leute haben bei der Suche nach diesen Wortkombinationen gesucht“) bei der Veröffentlichung dieses Rechenergebnisses um eine wahre Aussage des Suchmaschinenbetreibers23, die indes ausnahmsweise wegen unverhältnismäßigen Persönlichkeitsschadens nicht hinzunehmen ist24. Gleichzeitig hat der Algorithmus, geschweige denn der Suchmaschinenbetreiber, keinen persönlichen Bezug zum mitgeteilten Inhalt, was die automatisch entstandene Aussage in eine interessante Grauzone zwischen den rechtlich bereits erschlosseneren äußerungsrechtlichen Kategorien der mehrdeutigen Äußerungen, Slogans, Fragestellungen, verdeckten Äußerungen und Verdachtsberichterstattung rückt25. Die vom BGH angewandte Haftungsform durch Unterlassen wegen des Schwerpunktes der Vorwerfbarkeit weniger auf der Implementierung der Autocomplete-Funktion als aktives Handeln, sondern mehr auf dem Untätigbleiben trotz Hinweises auf eine Rechtsverletzung, ist schließlich als interessengerecht zu befürworten. Insbesondere dient sie auch nicht – anders als vielleicht auf den ersten Blick denkbar – als pure Hilfskonstruktion zur Herbeiführung eines gerechten Ergebnisses, sondern erscheint im Gesamtgefüge der Rechtsprechung in den verwandten Rechtsgebieten stimmig. In der automatischen Inhaltskreierung im Rahmen der Autocomplete-Funktion liegt also eine – sonstigen Fällen
20 S. Kastl, Automatisierung im Internet, S. 199 ff. 21 Kastl, Automatisierung im Internet, S. 201 ff. 22 Vgl. BGH v. 14.5.2013 – VI ZR 269/12, MMR 2013, 535, 537 – Autocomplete; s.a. Kastl, Automatisierung im Internet, S. 205, 208 ff. 23 Hier abweichend von BGH (vgl. BGH, ibid. 546 – Autocomplete); m.w.N. Kastl, Automatisierung im Internet, S. 208 f. 24 Vgl. Kastl, Automatisierung im Internet, S. 212. 25 Vgl. m.w.N. Kastl, Automatisierung im Internet, S. 225.
251
Graziana Kastl-Riemann
mittelbar Haftender im Immaterialgüterrecht einerseits und der äußerungsrechtlichen Verbreiterhaftung andererseits vergleichbare – Sonderkonstellation, bei welcher das kollektive, nicht tatbestandsmäßige Handeln Dritter insgesamt aufgrund der durch den Suchmaschinenbetreiber initiierten automatisierten Auswertung zu einer unterlassungstäterschaftlichen Persönlichkeitsverletzung führt26. Die Rolle der Automatisierung ist hierbei eine schillernde, da sie einerseits im algorithmischen Gewand rechnerisch korrekte und so gesehen wertungsfreie statistische Datenauswertung ermöglicht, andererseits die Ergebnisse dieser Datenauswertung ungleich weniger wertungsneutral vom Publikum aufgefasst werden. Aufgrund der Transferleistung des Rezipienten, der intuitiv den Entstehungshintergrund des Inhalts berücksichtigt und daher erwiesenermaßen massenhaft getätigten Aussagen in der Regel – sei es bewusst oder unbewusst – gewisse Aufmerksamkeit schenkt, können solche automatisch erzeugten Inhalte also ähnliche Sprengkraft erzeugen wie eine Schlagzeile in der Bildzeitung27. dd) Snippets 9 In ähnliche äußerungsrechtliche Kategorien ist die ebenfalls im Detail aufgearbeitete Suchmaschinenfunktion der Snippetkreierung (also die automatisch erstellte Kurzbeschreibung der Webseiteninhalte im Rahmen der Suchergebnisliste) einzuordnen28. Snippets können insbesondere dann eine originäre Persönlichkeitsverletzung durch den Suchmaschinenbetreiber beinhalten, wenn die automatisch erstellten Webseiten-Beschreibungen neue Inhalte aufweisen, die weder auf der Ursprungsseite vorhanden sind noch der Wahrheit entsprechen29. Die Automatisierung der Snippets-Erstellung kann also zu völlig neuen Äußerungen führen, die – hier abweichend von Autocomplete – in der Regel allerdings weniger auf einer unmittelbar dahinter stehenden User-Aktivität beruht als vielmehr unmittelbar auf dem Algorithmus30, gleichwohl nach Ansicht der Verfasserin der gleichen Haftungsform zu unterwerfen ist31. Hingegen trifft den Suchmaschinenbetreiber eine reine Verbreiterhaftung, wenn er persönlichkeitsverletzende Inhalte, die sich so auf der Ausgangs-Websei-
26 27 28 29 30 31
Vgl. im Detail m.w.N. Kastl, Automatisierung im Internet, S. 220 ff. Vgl. im Detail Kastl, Automatisierung im Internet, S. 224 ff. Vgl. Kastl, Automatisierung im Internet, S. 226 ff. Kastl, Automatisierung im Internet, S. 242 ff. So auch OLG Köln v. 22.3.2017, BeckRS 2018, 2746 Rz. 33 ff. Kastl, Automatisierung im Internet, S. 243.; ähnlich auch OLG Köln, ibid, Rz. 48 ff.
252
Automatisierung im Internet
te befinden, in verkürzter, aber inhaltsgleicher Form auf der Suchergebnisliste präsentiert32. ee) Suchergebnisliste Bei der Analyse des Persönlichkeitsverletzungspotenzials der Such- 10 ergebnisliste als solcher werden die Gefahr der dadurch ermöglichten Erstellung umfassender Persönlichkeitsprofile sowie das in der breiten Öffentlichkeit auch unter Gesichtspunkten des Datenschutzes diskutierte und vom EuGH statuierte Recht auf Vergessen33 thematisiert. Aufgrund der undurchsichtigen Kriterien, die zur endgültigen Präsentation der Suchergebnisliste führen, die unbestritten weder nur an der Chronologie von Ereignissen orientiert ist, noch auch nur bei jedem Nutzer gleich erscheint, kann eine Suchergebnisliste, die eine Person betrifft, zweifelsohne persönlichkeitsrechtliche Relevanz aufweisen. Ungeachtet der damit verbundenen gesellschaftlichen oder politischen Fragen gilt es auch hier einen interessengerechten Weg zu finden, wie und ob die Suchmaschine im Einzelfall dafür haften kann. Während es beim vom EuGH entschiedenen Fall einerseits um datenschutzrechtliche Fragen ging und andererseits nur ein konkretes Suchergebnis wegen Zeitablaufs dauerhaft von der Suchergebnisliste entfernt werden sollte, ist die hier interessierende Frage etwas weiter gefasst: kann allein die Zusammenstellung, Anordnung und Gewichtung an sich legal im Internet befindlicher Links, die alle im Bezug zu einem bestimmten Personennamen stehen, theoretisch eine originär der Suchmaschine zuzurechnende Persönlichkeitsverletzung darstellen? Die Antwort muss lauten ja, da der Einzelne im Angesicht eines global abrufbaren Persönlichkeitsprofils, auf dessen Zusammenstellung er nur sehr eingeschränkt Einfluss nehmen kann, im Einzelfall erheblich in seiner Persönlichkeitsentfaltung eingeschränkt sein kann und diese konkrete Zusammenstellung auf die Algorithmen des Suchmaschinenbetreibers zurückzuführen ist34. Im Grunde ist hier eine ähnliche Unterlassungshaftung denkbar wie im Autocomplete-Fall, nämlich dass bei Hinweis auf eine tatsächlich vorliegende Persönlichkeitsverletzung Anspruch auf Unterlassung gegenüber der Suchmaschine bestehen muss. Freilich ist die Praktikabilität dieser Lösung angesichts des bei Verletzungen des Rahmenrechts aus Art. 2 I, 1 I GG notwendigen Abwägungserfordernisses deutlich reduziert, worüber selbst der vom
32 Kastl, Automatisierung im Internet, S. 238 ff. 33 Vgl. EuGH v. 13.5.2014 – C-131/12, BeckRS 2014, 80862 – Google Spain/ AEPD. 34 Vgl. Kastl, Automatisierung im Internet, S. 252 ff.
253
Graziana Kastl-Riemann
EuGH statuierte und hierauf übertragbare grundsätzliche Vorrang des Persönlichkeitsrechts nur eingeschränkt hinweghelfen kann35. b) Einsatz der Automatisierung durch Nutzer 11 Nach einem Wechsel der Perspektive wendet sich das nachfolgende Kapitel exemplarischen Phänomenen der Automatisierung zu, die von einzelnen Nutzern zur Nutzung urheberrechtlicher Werke eingesetzt werden, um auch diesen Blickwinkel der Automatisierung zu beleuchten36. aa) Streaming 12 Streaming hat die Rechtswissenschaft lange beschäftigt wegen der damit technisch notwendigerweise verknüpften automatischen Vervielfältigung, die insbesondere bei Streaming von nicht legalen Quellen weitgehend als urheberrechtswidrig eingestuft wurde37. Dies hat mittlerweile auch der EuGH bestätigt: eine Rechtfertigung gem. Art. 5 I RL 2001/29 als vorübergehende technisch bedingte Vervielfältigung soll nicht in Betracht kommen, da durch die Zwischenspeicherung bei illegaler Quelle keine rechtmäßige Nutzung eines geschützten Werkes ermöglicht werde38. Dabei scheint für den EuGH jedoch nicht ganz irrelevant zu sein, ob der Streamende in Kenntnis dieser Sachlage handelt39, was im Einklang mit sogleich zu erörternder neuer EuGH-Rechtsprechung zum Linking steht. Die praktische Relevanz dieser Frage ist freilich insofern eher gering, da illegale Streaming-Seiten in der Praxis zumeist eher an der Wurzel bekämpft werden, anstatt die jeweiligen Nutznießer verstärkt zur Rechenschaft zu ziehen und auch die Nachfrage dank verstärkten Aufkommens bezahlter Streaming-Dienste in den letzten Jahren wohl gesunken ist. Gleichwohl dürfte das neueste EuGH-Urteil dazu hier eine rechtliche Grauzone etwas aufgeklärt haben. Aus dem Blickwinkel des Untersuchungsgegenstandes – der Rolle der Automatisierung – offenbart die Streaming-Problematik einmal mehr das Hadern des Urheberrechts mit den neuen Medien. Wegen der technisch notwendigen Vervielfältigung tangiert die bisher urheberrechtsfreie reine Werkrezeption ein ur35 Anschaulichen Überblick über die tatsächliche Umsetzung der EuGH-Vorgaben bietet der Google-Transparenzbericht, abrufbar auf https://transparencyreport.google.com/eu-privacy/overview; zu den praktischen Folgen s.a. Kastl, Automatisierung im Internet, S. 286. 36 Kastl, Automatisierung im Internet, S. 293 ff. 37 Umfassend zum Meinungsstand s. Kastl, Automatisierung im Internet, S. 295 ff. 38 EuGH v. 26.4.2017 – C-527/15, GRUR 2017, 610, 614 f. Rz. 59 ff. – Stichting Brein. 39 Vgl. EuGH, ibid. Rz. 69.
254
Automatisierung im Internet
heberrechtliches Verwertungsrecht und ruft damit die Notwendigkeit neuer Differenzierungskriterien – hier die Legalität der Quelle – hervor40. bb) Hyperlinking Die Arbeit widmet sich dem gleichfalls in der Rechtswissenschaft lan- 13 ge hoch umstrittenen Thema des Hyperlinkings, besonders in Form des Deep- bzw. Framelinks, da hierdurch die automatische Anzeige eines auf einem fremden Server befindlichen Inhalts auf Webseiten ermöglicht wird41. Die urheberrechtliche Relevanz ergibt sich hier aus der Wirkung dieser Technik, die faktisch eine Kopie fremder Werke ermöglicht, ohne technisch jedoch eine Vervielfältigung zu beinhalten. Da die Vervielfältigung gemäß § 16 UrhG nach der Gesetzesbegründung explizit eine körperliche Festlegung des Werkes voraussetzt, kam eine Subsumption dieses optisch einer Kopie durchaus vergleichbaren Phänomens nicht in Betracht42. Rechtsprechung und Literatur rangen also lange Zeit mit der Einordnung dieser Verlinkungsart unter andere urheberrechtliche Tatbestände. Hier bot sich insbesondere die öffentliche Wiedergabe an, sei es in Form der öffentlichen Zugänglichmachung gemäß § 19a UrhG oder – wie zunächst vom BGH vorgeschlagen43 – in Form eines unbenannten Falles der öffentlichen Wiedergabe. Der EuGH hingegen hat in langjähriger Judikatur Kriterien für das Vorliegen einer öffentlichen Wiedergabe herausgearbeitet, nämlich: jede Übertragung geschützter Werke gegenüber einer unbestimmten Zahl potenzieller Adressaten, gegenüber einem „neuen Publikum“44 oder durch ein „anderes technisches Verfahren“45. Danach ließe sich ein Framelink nur als öffentliche Wiedergabe subsumieren, wenn er ein neues Publikum erreichen oder ein anderes technisches Verfahren darstellen würde. Letzterem erteilte der EuGH eine Absage, da die Wiedergabe im Internet ein und dasselbe Verfahren sei46. Ein neues Publikum werde nur erreicht, wenn der Link auf eine Webseite verlinke, die mit technischen Schutzmaßnahmen versehen und daher ursprünglich nur einem eingeschränkten Kreis zugänglich sei47. 40 41 42 43 44
S. Kastl, Automatisierung im Internet, S. 319 ff. Kastl, Automatisierung im Internet, S. 322 ff. M.w.N. Kastl, Automatisierung im Internet, S. 327 ff. BGH, Beschl. v. 16.5.2013 – I ZR 46/12, MMR 2013, 596 – Die Realität. EuGH v. 13.2.2014 – C-466/12, GRUR 2014, 360, Rz. 24 – Svensson/Retriever; EuGH v. 4.10.2011 – verb. Rs. C-403/08 und C-429/08, MMR 2011, 817, Rz. 198 f. – FAPL/Murphy; EuGH v. 7.12.2006 – C-306/05, GRUR 2007, 225, Rz. 40 ff. – SGAE/Rafael; EuGH v. 27.2.2014 – C-351/12, GRUR 2014, 473, Rz. 31 ff. – OSA/Lécˇebné lázneˇ. 45 EuGH v. 7.3.2013 – C-607/11, MMR 2013, 459, Rz. 31 ff. – ITV Broadcasting. 46 EuGH v. 13.2.2014 – C-466/12, GRUR 2014, 360, Rz. 24 – Svensson/Retriever. 47 EuGH, ibid. Rz. 26 f.
255
Graziana Kastl-Riemann
Eine Unterscheidung zwischen einzelnen Linkarten lehnte der EuGH – jedenfalls in Bezug auf den Tatbestand der öffentlichen Zugänglichmachung – explizit ab48. Die noch offen gelassene Frage der Verlinkung auf ursprünglich rechtswidrig online gestellte Inhalte hat der EuGH zuletzt in der GS Media-Entscheidung auf recht erstaunliche Weise beantwortet. Parallel zum oben bereits genannten Streaming-Fall wurde eine subjektive Tatseite der öffentlichen Zugänglichmachung eingeführt, sodass es darauf ankommen solle, ob der Linksetzende von der Rechtswidrigkeit der Ausgangsveröffentlichung gewusst habe. Dem nicht genug, stellte der EuGH auch eine Vermutung hierfür auf: solches Wissen sei zu vermuten, wenn der Linksetzende kommerzielle Absichten verfolge49. Hier schließt sich der Kreis zwischen Hyperlinking und Thumbnails. Die neuen Entwicklungen der EuGH-Rechtsprechung haben primär die Beobachter in der Rechtswissenschaft in Erstaunen versetzt, jedenfalls aber auch bestätigt, dass die technischen Merkmale als Tatbestandsmerkmale allein zur Beantwortung der durch die Automatisierung aufgeworfenen Urheberrechtsfragen nicht mehr genügen und insofern alternative Elemente erforderlich sind50. Der EuGH hat sich für das Vorsatzerfordernis entschieden und das Urheberrecht damit dem Deliktsrecht angenähert. 2. Automatisierung zur Rechtsverletzungsverhinderung 14 Im zweiten Teil des zentralen Kapitels § 3 wird untersucht, welche Möglichkeiten des Einsatzes der Automatisierung zum Schutz vor Rechtsverletzungen es gibt. In dieser Kategorie wird ebenfalls nach dem Einsetzenden unterschieden, wobei hier auf der einen Seite wiederum der Diensteanbieter (a) und auf der anderen Seite der Rechteinhaber steht (b). Auch innerhalb dieser Kapitel werden technische Funktionsweise und tatsächliche Einsatzmöglichkeiten den rechtlichen Implikationen gegenübergestellt, um die Rolle der Automatisierung zu definieren. a) Einsatz der Automatisierung durch Diensteanbieter 15 Im Fokus dieses Kapitels stehen die Möglichkeiten der Internetdienstleister, mithilfe von technischen Filtermaßnahmen Rechtsverletzungen automatisch zu verhindern, nicht nur um die Portale für ihre Nutzer attraktiv zu halten, sondern vor allem auch, um möglicher mittelbarer oder unmittelbarer Haftung zu entgehen. Nach einem Einblick in die 48 EuGH, Beschl. v. 21.10.2014 – C-348/13, CR 2014, 732 = ITRB 2014, 270 = GRUR 2014, 1196, Rz. 17 f. – BestWater International. 49 EuGH v. 8.9.2016 – C-160/15, CR 2017, 43 = ITRB 2017, 28 = GRUR 2016, 1152, Rz. 44 ff. – GS Media. 50 S.a. Kastl, Automatisierung im Internet, S. 360, 482.
256
Automatisierung im Internet
Hintergründe verschiedener Filtertechniken51 werden deren unvermeidbare Unzulänglichkeiten angerissen52, bevor der Einsatz solcher Filter durch Diensteanbieter insbesondere im Rahmen gerichtlich auferlegter Prüfungspflichten als Störer untersucht wird53. Nachdem die Rechtsprechung Providern wegen der Verletzung von Urheber- und Marken-, Wettbewerbs-, aber auch Persönlichkeitsrechten54 Filterpflichten unterschiedlichen Ausmaßes bis hin zu Marktbeobachtungspflichten auferlegt hatte (je nach deren Zumutbarkeit und unter Berücksichtigung des verletzten Rechtsgutes, des jeweiligen Geschäftsmodells und der Erkennbarkeit der Rechtsverletzung)55, wurde dies vor dem Hintergrund der Grenzen der Störerhaftung, dem Verbot allgemeiner Überwachungspflichten aus Art. 15 I ECRL, den Grundrechten der Nutzer und der Gefahr von „Zensur“ in der Rechtswissenschaft vielfältig kritisiert56. Die Automatisierung stellt sich in diesem Themenfeld als zwiespältig dar: einerseits ermöglicht sie effiziente Rechtsverletzungskontrolle, was im Zeitalter der massenhaften Online-Datenverarbeitung in gewissen Grenzen unverzichtbar ist. Andererseits birgt die flächendeckende Übertragung der Rechtskontrolle auf Automaten, getrieben von wirtschaftlichen Motiven, die Gefahr einer Unterdrückung der Meinungs- und Informationsfreiheit57. In der Öffentlichkeit haben Phänomene wie Hatespeech, Revengeporn und volksverhetzende Inhalte im Internet58 zu einem erhöhten Bedürfnis der Bekämpfung solcher Rechtsverletzungen geführt, worauf die Politik zuletzt mit der Einführung des Netzwerkdurchsetzungsgesetzes reagierte59. Dieses viel kritisierte Gesetz60, das unter anderem unter Androhung von Bußgeldern von den Providern eine hochbeschleunigte Entfernung möglicher strafrechtlich relevanter Inhalte verlangt, dürfte in der Praxis die Gefahr für Meinungs- und Informationsfreiheit deutlich erhöhen, wobei der Nutzen auf der Seite der Rechtsverletzungen abzuwarten bleibt. Wollen Provider ihre auferlegte Rolle als Beurteilungsinstanz für Strafrechtsverstöße, deren Subsumption selbst Staatsanwälten und Richtern mitunter schwer fällt, ernst nehmen, kommt eine Automatisierung der 51 52 53 54 55 56 57 58
Kastl, Automatisierung im Internet, S. 364 ff. Kastl, Automatisierung im Internet, S. 378 ff. Kastl, Automatisierung im Internet, S. 382 ff. Zuletzt ablehnend BGH v. 27.2.2018 – VI ZR 489/16, BeckRS 2018, 4993. Zusammengefasst m.w.N. Kastl, Automatisierung im Internet, S. 413 ff. Siehe hierzu m.w.N. Kastl, Automatisierung im Internet, S. 415 ff. Kastl, Automatisierung im Internet, S. 438 ff. Zu den gesellschaftlichen Dynamiken s.a. Kastl, Automatisierung im Internet, S. 95 ff. 59 BGBl. I 2017, Nr. 61 v. 7.9.2017, S. 3352. 60 S. nur Kalscheuer/Hornung, NVwZ 2017, 1721; Guggenberger, NJW 2017, 2577; Nolte, ZUM 2017, 552.
257
Graziana Kastl-Riemann
nunmehr auferlegten Entfernungspflichten jedenfalls nur eingeschränkt in Betracht. b) Einsatz der Automatisierung durch Rechteinhaber 16 Die Möglichkeiten der einzelnen Rechteinhaber, ihre Rechte und Inhalte selbst mithilfe technischer Schutzmaßnahmen automatisiert zu schützen, von Digital Rights Management über einfache technische Schutzmaßnahmen durch Eingaben im Quelltext von Web-Inhalten bis hin zum Einsatz von Privacy by Design, werden in der Arbeit mehr exemplarisch dargestellt61. Aufgrund der Dynamik der technischen Entwicklungen in diesem Bereich wäre ein abschließendes Fazit hierzu heute verfrüht. Die Rolle der Automatisierung hingegen dürfte sich mit der Optimierung der technischen Mittel nur begrenzt verändern. Sie bietet ein wirkungsvolles Instrument zur individuellen Rechtsverteidigung, ist dabei jedoch den Schwächen der Umgehbarkeit und möglichen Overblockings unterworfen. Ein zusätzlicher nicht zu unterschätzender Faktor dürfte wohl sein, dass die Instrumente zur individuellen Rechtsverteidigung, als etwa in Apps oder Browsern enthaltener Software, der Industrie entspringen und damit den Regeln der Marktwirtschaft unterliegen. Somit setzt sich in der Regel das aus der Sicht des Verbrauchers oder der wirtschaftlich stärksten Unternehmen günstigste Produkt durch, sodass eine optimale Entfaltung der betroffenen Rechte, selbst bei theoretischer technischer Möglichkeit, nicht sichergestellt ist und es insofern gewisser rechtlicher Regulierung bedarf62. Im Bereich des Datenschutzes ist der bereits in der Arbeit in Ansätzen kritisch erläuterte DSGVO-E63 mittlerweile finalisiert worden und gilt ab Mai 2018. In Erwägungsgrund 78 und Art. 25 der finalen Regelung der DSGVO hat der Privacy by Design-Gedanke jedenfalls in allgemeiner Form Niederschlag gefunden, aber es bleibt abzuwarten, ob hierdurch der Datenschutz spürbar gefördert wird64. Abzuwarten bleibt auch die finale Fassung der ePrivacy-Verordnung, deren Inkrafttreten für 2019 vorgesehen ist65. IV. Rechtliche Implikationen der Automatisierung 17 Kapitel § 4 der Dissertation widmet sich schließlich der Zusammenfassung der Implikationen der Automatisierung für die untersuchungsgegenständlichen Rechtsgebiete. Nach einer Zusammenschau der Charakter61 62 63 64
Kastl, Automatisierung im Internet, S. 443 ff. Kastl, Automatisierung im Internet, S. 474 f. Kastl, Automatisierung im Internet, S. 462 f. Eher skeptisch Schantz, NJW 2016, 1841, 1846; grundsätzlich zu den Auswirkungen in der Praxis von Schenk/Mueller-Stöfen, GWR 2017, 171. 65 COM(2017) 10 final 2017/0003 (COD); kritisch Maier/Schaller, ZD 2017, 373.
258
Automatisierung im Internet
eigenschaften der Automatisierung unabhängig von den Rechtsgebieten und mit besonderem Augenmerk auf ihre kontroverse Natur (1), werden die konkreten Implikationen für die untersuchungsgegenständlichen Rechte auf den Punkt gebracht (2). 1. Kontroverse Rollen der Automatisierung Zunächst bewirkt die Automatisierung Kontrollverlust und Kontroll- 18 gewinn zugleich. Sie führt einerseits zu Kontrollverlust, indem einerseits etwa die massenhafte Datenverarbeitung auf der Seite der Provider Einzelfallprüfungen erschwert oder algorithmische Datenverarbeitung zu unvorhersehbaren Ergebnissen führt. Auf der Seite der Rechteinhaber bzw. Dienstnutzer andererseits führt das spiegelbildlich zu einem Kontrollverlust über die eigenen Rechte an Daten, Werken oder der eigenen Persönlichkeitsrechte. Gleichzeitig ist ein Kontrollgewinn durch Automatisierung darin zu sehen, dass die digitalen Speichermöglichkeiten unbegrenzte Durchsuchung und Überwachung, aber auch effektive technische Schutzmöglichkeiten für eigene und fremde Rechte ermöglichen, die vormals nicht zur Verfügung standen66. Auch trifft in der Automatisierung der Mehrwert zugunsten der All- 19 gemeinheit auf die Ausbeutung Einzelner. So ermöglicht die Automatisierung einerseits Online-Mehrwertdienste, die zumeist gratis oder sehr kostengünstig angeboten werden und von Informations- bis hin zu reinen Unterhaltungsdiensten der Allgemeinheit von großem Nutzen sind. Damit einher geht jedoch andererseits nicht selten die Ausbeutung Einzelner, deren Daten, Werke und Leistungen der automatisierten Auswertung zugrunde liegen67. Im Zusammenhang mit der Nutzung urheberrechtlich geschützter Wer- 20 ke führt die Automatisierung zur urheberrechtlichen Tatbestandsmäßigkeit von Nutzungshandlungen einerseits und ermöglicht andererseits deren Umgehung. Das Gleichgewicht zwischen faktischen Grundlagen und normativen Wertsetzungen des Urheberrechts wird dadurch erschüttert, indem bisweilen Nutzungshandlungen dem Urheberrechtsregime unterstellt oder entzogen werden, ohne dass dies nach wertender Betrachtung angemessen erscheint68. Im Bereich des Äußerungsrechts trifft wertungsfreier Entstehungshinter- 21 grund durch „objektive“ Algorithmen auf durchschlagskräftige Wirkung 66 S. Kastl, Automatisierung im Internet, S. 477 f. 67 Kastl, Automatisierung im Internet, S. 479 f. 68 Kastl, Automatisierung im Internet, S. 480.
259
Graziana Kastl-Riemann
der Rechenergebnisse. Aus Sicht des Rezipienten erscheinen algorithmisch errechnete Informationen und Aussagen einerseits wegen ihres technischen Entstehungshintergrundes besonders neutral, andererseits kann personenbezogene Datenauswertung gerade dadurch besonders folgenschwere Aussagekraft und damit enormes Rufschädigungspotential erlangen69. 22 Auf der Seite der Automatisierung zum Einsatz gegen Rechtsverletzungen treffen kostengünstige, effiziente Rechtsverletzungsverhinderungsmöglichkeiten auf Overblocking zulasten von Informations- und Meinungsfreiheit70. 2. Urheber- und äußerungsrechtliche Implikationen der Automatisierung 23 Die kontroverse Natur der Automatisierung legt für die untersuchungsgegenständlichen Rechtsgebiete die im Folgenden in Thesenform zusammengefassten Folgerungen nahe. a) Wertende, statt technische Betrachtung im Urheberrecht 24 Die durch die Automatisierung ermöglichten Nutzungen im Internet erfordern eine Ablösung der rein technischen Betrachtung im Urheberrecht von einer wertenden. Eine technische Betrachtung erweist sich dann als nicht interessengerecht, wenn sie an Techniken anknüpft, die zur Herstellung faktisch gleicher Ergebnisse nicht mehr notwendig sind. Insbesondere im Hinblick auf den technischen Fortschritt und dessen zunehmende Geschwindigkeit sind bei der Beurteilung von Urheberrechtsverletzungen alternative Betrachtungen anzustellen, wobei technische Merkmale und sonstige objektive Umstände lediglich als Anknüpfungspunkte hinzuzuziehen sind71. b) Neue äußerungsrechtliche Kategorie: Algorithmische Inhaltsgenerierung 25 Die algorithmische Inhaltsgenerierung ist als neue äußerungsrechtliche Kategorie zu begreifen. Die automatisch in Kooperation von Technik und Intellekt entstandenen Inhalte führen zu einer neuen Aussagemodalität, bei der verschiedene Aspekte bisheriger Äußerungskategorien aufeinandertreffen. Zu berücksichtigen ist dabei, dass der Betreiber eines 69 Kastl, Automatisierung im Internet, S. 481. 70 Kastl, Automatisierung im Internet, S. 481 f. 71 Kastl, Automatisierung im Internet, S. 482 ff.
260
Automatisierung im Internet
entsprechenden Algorithmus zwar als Verantwortlicher für die Aussage anzusehen ist, er zu dieser aufgrund der rein automatischen Generierung jedoch keinen intellektuellen Bezug hat. Als angemessen erweist sich daher eine Haftung durch Unterlassen ab dem Zeitpunkt der Kenntnis einer Persönlichkeitsverletzung, die im Ergebnis der Haftung eines mittelbaren Störers gleichkommt72. c) Rechtserheblichkeit verkehrsüblicher technischer Maßnahmen im Internet Rechtsgebietsübergreifend erfordert die untersuchungsgegenständliche 26 Automatisierung, dass verkehrsübliche technische Maßnahmen als rechtserhebliche Willenserklärungen zu begreifen sind. Zur Funktionsfähigkeit des Massenverkehrs im Internet ist das Zurückgreifen auf technische Mittel zur Untermauerung eines bestimmten rechtserheblichen Willens unverzichtbar. Welche technischen Maßnahmen sich langfristig etablieren und interessengerecht einsetzbar sind, um ihnen eindeutige Willenserklärungen beizumessen, bleibt abzuwarten73. d) Haftungsprivilegierung für Suchmaschinen Suchmaschinen sind den Haftungsprivilegierungen gemäß § 7 ff. TMG 27 bzw. Artt. 12 ff. E-Commerce-Richtlinie grundsätzlich zugänglich. Zwar ist der Wortlaut der nationalen Umsetzung nur ungenügend unmittelbar anwendbar auf Suchmaschinendienste, jedoch gebietet der Zweck der Richtlinie, manche Funktionen von Suchmaschinendienstleistern zu privilegieren, bei welchen Informationen inhaltlich unverändert durchgeleitet werden (vgl. § 8 TMG)74. e) Ausgewogene Interessenberücksichtigung im Rahmen technischer Rechtsverletzungsverhinderungsmaßnahmen Im Rahmen technischer Rechtsverletzungsverhinderungsmaßnahmen 28 wie Filtern, Digital Rights Management und Privacy by Design müssen Anreize für eine ausgewogene Berücksichtigung der Interessen aller Beteiligten gesetzt werden (§ 4 B II 3). Hier streiten bislang die Interessen der Nutzer, der Diensteanbieter und der Rechteinhaber gegeneinander und um Grundrechte, wirtschaftliche Interessen und Datenschutzaspekte in Einklang zu bringen, sind Legislative und Judikative gefragt75. 72 73 74 75
Kastl, Automatisierung im Internet, S. 485 ff. Kastl, Automatisierung im Internet, S. 488 ff. Kastl, Automatisierung im Internet, S. 490 ff. Kastl, Automatisierung im Internet, S. 492 ff.
261
Graziana Kastl-Riemann
V. Resümee und Ausblick 29 Die jüngsten in diesem Beitrag angerissenen Entwicklungen haben gezeigt, dass die rechtlichen Implikationen der Automatisierung in ihren unterschiedlichen Gestalten für Urheber- und Äußerungsrecht, einschließlich des Datenschutzrechts, Rechtsprechung und Gesetzgeber zunehmend Fantasie und Hingabe abverlangen. Während der EuGH im Bereich des Urheberrechts neue Kriterien wie die Kenntnis des Handelnden oder etwaige kommerzielle Absichten herausgearbeitet hat, hat der deutsche Gesetzgeber zuletzt mit dem Netzwerkdurchsetzungsgesetz versucht, eine Reihe von mit der Automatisierung einhergehenden Konflikten im Internet zu lösen. Die in der Autocomplete-Entscheidung des BGH herausgearbeiteten Grundsätze wurden im Zusammenhang mit algorithmisch erstellten Aussagen vielfach aufgegriffen und weiterentwickelt76, ebenso wie jene der Google-Spain Entscheidung des EuGH77, was die zunehmende Relevanz der algorithmisch erzeugten Aussage unterstreicht und den Weg für den einheitlichen rechtlichen Umgang mit dieser neuen äußerungsrechtlichen Kategorie ebnet. Die technische Implementierung des Schutzes von Urheber-, Persönlichkeits- und Datenschutzrecht wird nicht nur in der Praxis seit langem gelebt und fortwährend weiterentwickelt78, sondern hat für den Datenschutz mit der Adressierung in den Entwürfen der ePrivacy-Verordnung ebenso wie der Datenschutzgrundverordnung auch legislativen Niederschlag gefunden. Das sind nur vereinzelte Fortsetzungen der Symptome einer umfassenden Umwälzung des Rechts durch die Automatisierung im Sinne des Untersuchungsgegenstandes79. Mag dieser auf den ersten Blick recht um76 S. nur OLG Köln v. 8.4.2014 – 15 U 199/11, CR 2014, 385 = ITRB 2014, 151 = GRUR-RS 2014, 08900; LG Hamburg v. 7.11.2014 – 324 O 660/12, CR 2015, 329 = NJW 2015, 796; OLG Köln v. 20.11.2015 – 6 U 40/15, ITRB 2016, 30 = MMR 2016, 109; OLG Köln v. 25.1.2018 – 15 U 56/17, ITRB 2018, 157 = BeckRS 2018, 2746; OLG München, Beschl. v. 7.6.2017 – 18 W 826/17, CR 2018, 56 = ITRB 2017, 207 = GRUR-RS 2017, 113207; zur wissenschaftlichen Anknüpfung s. nur Krupar, Die rechtliche Behandlung algorithmischer Kommunikate, DSRITB 2017, 275. 77 S. nur BGH v. 27.2.2018 – VI ZR 489/16, BeckRS 2018, 4993; OLG Köln v. 25.1.2018 – 15 U 56/17, ITRB 2018, 157 = BeckRS 2018, 2746; OLG Celle v. 1.6.2017 – 13 U 178/16, CR 2017, 551 = ITRB 2017, 208 = NJOZ 2018, 539; OLG Celle v. 29.12.2016 – 13 U 85/16, CR 2017, 408 = ITRB 2017, 53 = GRURRS 2016, 110799. 78 Zu Visionen möglicher Fortschritte der Künstlichen Intelligenz auf dem Gebiet von Hate Speech s. Bergböhmer, http://meedia.de/2018/04/13/wiekuenstliche-intelligenz-gegen-hass-im-netz-funktioniert-eine-modernetechnik-mit-vielen-fragezeichen/ (zuletzt abgerufen am 13.4.2018). 79 S.a. Schlussbetrachtungen bei Kastl, Automatisierung im Internet, S. 495 ff.
262
Automatisierung im Internet
fassend wirken, so kristallisieren die Untersuchungen aus diesem übergeordneten Blickwinkel doch jedenfalls für die gewählten Rechtsbereiche überraschende Parallelen heraus, die ein wenig Licht in das Dunkel des immer komplizierter werdenden Feldes des Internetrechts zu bringen vermögen. „Sollte diese Arbeit durch die Beleuchtung der Rolle der Automatisierung neue Strukturen erkennbar gemacht und so Impulse dafür gesetzt haben, an den dadurch aufgeworfenen Fragen wissenschaftlich anzuknüpfen, dann hat sie ihr Ziel mehr als erreicht. Denn um dem zunehmend von automatisierten Vorgängen geprägten Umfeld sowie der immer schnelleren technischen Entwicklung gerecht zu werden und dabei das Problem des zeitlichen „Hinterherhinkens“ zu minimieren, wird es immer wichtiger werden, die damit verbundenen rechtlichen Konflikte nicht problemisolierend anzugehen.“80
80 Kastl, Automatisierung im Internet, S. 498.
263
Data Portability Analysis of the legal concept with regard to the General Data Protection Regulation Radina Stoykova* I. The Structure of Art. 20 GDPR – Direct and Indirect Data Portability II. Nature of the Right to Data Portability 1. Personal Data as Property-related Concept 2. A Digital Personality Right 3. The GDPR combining Two Approaches III. Relation to Right of Access IV. The Limitations to the Scope of Art. 20 GDPR 1. Data not Provided by the Data Subject 2. Data Processing Not Based on Consent or Contract 3. Technical Feasibility a) Soft Law Approaches b) Data Portability as a First Step towards Interoperability c) GDPR and Technical Implementation of Data Portability d) Possible Technical Solutions 4. Rights of Others a) The Household Exemption
b) Legitimate Interests (Art. 6 (1) point (f)) GDPR c) Relation to Rights of Third Parties 5. Public Sector V. The Competition Law Dimension 1. Data Portability as a Rule fostering the Free Flow of Data 2. The Portability Concept: Data, Number and Content Portability 3. Comparative View 4. The Portability of One’s Digital Life as Gain in Liberty 5. Potential Adverse Effects on the Market a) Potential Market-Entry Barrier for SMEs b) Potential Obstacle to Innovation 6. Benefits to Innovation and Market-Development a) A Rule of Reason Approach b) Network Effects on the Market c) The Necessity to Regulate VI. Conclusions
The right to data portability is a in European data protection law unprecedented right, codified for the first time in Art. 20 GDPR alongside the other data subject’s rights. Unlike those, however, the right to data portability is of hybrid nature, both serving the data subject’s protection * Radina Stoykova, LL.M. IT and IP Law, Institute of Legal Informatics, Hannover; Supervisor: Prof. Dr. Dr. h.c. Wolfgang Kilian.
265
Radina Stoykova
and enabling the free flow of data and as such being an instrument to enhance competition and develop the digital singular market. However, the right has been codified with several exceptions, limiting its scope. The limitation to technically feasible data transfer needs to be seen in the light of an innovative legislative approach, interlinking soft law with statutory law, opening the legal framework for adaption to high velocity market developments of economic or technologic nature, and to using instruments such as standardisation to connect the legal framework to the underlying technology. Additionally, the dualistic nature of the right to data portability requires to preserve its nature as a regulatory tool for a digital single market, which implies preventing market-entry barriers for SMEs, balancing regulatory needs with openness to developments and innovation. I. The Structure of Art. 20 GDPR – Direct and Indirect Data Portability 1 The primary right laid down in Art. 20 (1) is the data subject’s right to, firstly, receive the personal data concerning him or her from the controller, and, secondly, to transfer this data to another controller. This porting of data therefore requires an active contribution of the data subject itself: the reception of the data as well as the transfer to the new controller. It therefore can be seen as a right to „indirect“ data portability, to be able to distinguish this right from the one to „direct“ data portability laid down in paragraph (2), entitling the data subject to exercise his or her right by requesting direct transfer from one controller to another. In a competition and market development context, very interesting is the additional obligation of the controller to provide the data in „structured, commonly used, and machine-readable format“. II. Nature of the Right to Data Portability 2 The result of the two contrasting conceptual influences – protection of (digital) personality and enhancing the free flow of data as an economic good – render the right to data portability something which could be labelled „a hybrid right“. As observed below, it combines two, seemingly opposing, elements: a classic data subject right on the one hand and rule enabling competition on the other. 3 The introduction of a right to data portability can be linked back to a simple observation: vast majorities of modern European societies are spending hours on different online platforms, creating profiles and online contacts, writing mails, blogs, posts and chats or uploading important 266
Data Portability
personal information to social networks and/or clouds. These are comprehensive accumulations of information which reflect great parts of our personal lives, thereby turn into something more than just „data“: they begin to form „digital personalities“ as an important extension of ourselves. The right to data portability therefore aims to ensure that users can re- 4 ceive a copy of the information forming their digital personality and/or transfer it freely between different web services, as per the definition of „portability“ – „the ability to be easily carried or moved“1. Further, in cases in which the service is terminated or altered by the provider due to business or technical reasons, individuals may wish to leave without losing their digital personality. 1. Personal Data as Property-related Concept The concept of being in control of your own data raises the important 5 question who is the owner of your digital identity, which puts companies and scholars in opposition. For example, „Google believes users own information such as their e-mail address, books should be able to take it with them wherever they go on the web, […] [while] Facebook argues that the owner of the e-mail address, not someone who has collected it, should decide where and how it is shared“2. Treating personal data as individual’s property (in a broad and somewhat 6 untechnical sense) has been considered hazardous and imposing risk of irresponsible data trading and low awareness of data subjects3, which is why it was suggested that „data protection mechanisms must be structured along lines of control and visibility in relation to identities, and not be based on ownership of personal data“4. However, Schwartz advocate5 both „imposing a ban on data trade, rath- 7 er than restrictions on transferability“ and „no […] legal limits on data 1 http://www.oxforddictionaries.com/definition/english/portability. 2 http://www.economist.com/node/17461435. 3 Weinstock, „Cyberspace Self-Governance: A Sceptical View from Liberal Democratic Theory“, 88 Cal. L. Rev. 395 (2000). Available at: http://scholarship.law. berkeley.edu/californialawreview/vol88/iss2/8. 4 Prins, „The propertization of personal data and identities“, Electronic Journal of Comparative Law, vol. 8.3 (October 2004), available at: http://www.ejcl.org/83/ art83-1.PDF. 5 Schwartz, „Property, Privacy, and Personal Data“, 117 Harv. L. Rev. 2055 (2004), with ref. 4 and 5 where pro and contra propertization of personal information opinions are listed.
267
Radina Stoykova
trade“ are not in individual’s best interest equally. Property must be understood „as a bundle of interests rather than despotic dominion over a thing [which] helps frame a viable system of rights with respect to personal data“ when „use and transferability restrictions“ must apply. While subjects have property-based rights and can freely use and transfer personal data, the regime imposes additional remedies and restrictions to prevent sale or misuse of data. The idea therefore has not remained unchallenged. As pointed out by Rouvroy and Poullet „an individual’s control over the data and information produced about him is a (necessary but insufficient) precondition for him to live an existence that may be said ‚self-determined“6. They conclude that an „alienable property right of the individual over his personal data“ is in opposition with the European concept for informational self-determination and self-development in digital environment and inextricably linked with human dignity. 8 Still, there are arguments that the right to data portability conceptually bears resemblances to the concept to individual ownership (in a civil law sense) on their personal data. In fact, the GDPR has moved data subject rights closer towards absolute rights that entitle data subjects more generally based upon their relation to their personal data, especially in the sense of defence rights. As per the opinion of EDPS „individuals were given the ability to use their personal data to benefit from it in a tangible way“, and „[T]he European Commission Communication on Big data specifically refers to and encourages the use of ‚personal data spaces’ as user-centric, safe and secure places to store and possibly trade personal data“7. 2. A Digital Personality Right 9 Zanfir is focusing her research on the data protection element of the right to data portability and concludes that „we can find the foundations of data portability in the free development of human personality“8. The right to „free development of human personality“ is laid down in Arti-
6 Rouvroy and Poullet „The Right to Information Self-Determination and the Value of Self Development: Reassessing the Importance of Privacy for Democracy“, in Serge Gutwirth et al. (eds ) Reinventing Data Protection? (Berlin: Springer, 2009), p.51. 7 EDPS Opinion 7/2015 „Meeting the challenges of big data: A call for transparency, user control, data protection by design and accountability“, 19 November 2015, p.13. 8 Zanfir (2012): The right to Data portability in the context of the EU data protection reform. International Data Privacy Law 2(3), 149-162.
268
Data Portability
cle 22 of UDHR9, and although not introduced in the ECHR or the EU Charter explicitly, it is there as part of the right to human dignity. So, the concept of portable digital life or portable profile speaks not only 10 for the right to determine the disclosure or use of personal information, but relates to a deeper data protection layer – namely the entitlement of the individual to protect his or her free development of personality in the digital world, seeing someone’s profile or digital activity as a virtual extension of his or her personality. Gomes de Andrade comments on the so-called game avatars that „online collaborative environments, virtual worlds emerge as context for creation, allowing for users to undertake a digital alter-ego. […] such digital egos are not merely creations, but a reflex of their creators, an extension of their personalities and indicia of their identities“10. This is a strong incentive that data portability is not only a market or consumer protection tool (as argued in the trilogy discussion), but also a valuable data protection regulator which belongs to GDPR and protects the fundamental right to freely develop [digital] personality and [digital] human dignity. 3. The GDPR combining Two Approaches The conceptual approaches rooting data protection either in a proper- 11 ty-like legal position or rooting it in a right to protect (digital) personality, are obviously quite opposing. The property-centred approach, however, although acknowledged also by Sparapani, the former Public Policy Director for Facebook Inc.11, until now remains more a paper-based concept, not the least because of the two relatively opposing ideas for data protection in the US and in Europe. In this respect the GDPR shows a unique innovative legal thinking combining the human-rights based regime for data protection with property-similar rights to enforce it12. Of course, as already emphasized, this must be limited with appropriate safeguards.
9 UN General Assembly, Universal Declaration of Human Rights, 10 December 1948, 217 A (III). 10 Gomes de Andrade, „Striking a Balance between Property and Personality The Case of the Avatars“, February 2009, Vol. 1. No. 3 „Cultures of Virtual Worlds“. 11 Remarks by Sparapani at the North Carolina Law Review’s 2011 Symposium „Social Networks and the Law“, 90 N.C. L. Rev.1309 (2012). 12 See also Victor, Comment: The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy, 123 Yale Law Journal 513 (2013), p.513-528.
269
Radina Stoykova
III. Relation to Right of Access 12 The Commission in its final proposal13 introduced the right to data portability as an additional provision to „further strengthen […] [the] right of access“. This plays into the question why it is laid down as a separate right and not „as a variation of the right to access“14. 13 The right to access is broad and its purpose, as stated in Recital (63) is the subject to „be aware of, and verify, the lawfulness of the processing“. As pointed out by CJEU the right to access aims at verifying whether or not personal data is „processed in a correct and lawful manner, […] that the basic data […] are accurate and that they are disclosed to authorised recipients“ and, if not, to enable exercising of other control rights15. 14 By contrast, the right to data portability, unlike the right of access, facilitates on a large scale not only the protection of personal data, but also the free flow of data. This could not be (directly) achieved in modern processing environments by the right to access, which could provide a simple set of plain text information that is not machine-readable or otherwise structured. Making an entire digital profile, the related storages in clouds or the built-up in years digital identity with its visualisations, semantic relations, tags, and open formats, automatically portable is more far-reaching, requiring investment and change. 15 The new regime emphasises the use of open standards for technical feasibility, which enable use and reuse of structured sets of data by different machines and also defer from the minimum requirements of Article 15 (1) (a) to (h) to obtain a copy of information. The most important difference between the right to data portability and the right to access is the formal requirement laid down in Art. 20 (1): machine-readable, structured data in a common format. This puts the user into a situation, where he or she can use their personal data to assess the added value „hidden“ in it by automated means.
13 Regulation of the European Parliament and the Counsel on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels, 25.1.2012, COM(2012) 11 final, Rec.55. 14 Article 29 Data Protection Working Party Opinion 8/2014 on Recent Developments of the Internet of Things, adopted on 16 September 2014, p.20. 15 Case C - 553/07 College van burgemeester en wethouders van Rotterdam v M.E.E. Rijkeboer, Judgement of the Court, 7 May 2009, para. 49 and 51; Joined Cases C - 141/12 and C - 372/12 YS v Minister voor Immigratie, Integratie en Asiel, Judgement of the Court, 17 July 2014, para. 44-45.
270
Data Portability
IV. The Limitations to the Scope of Art. 20 GDPR 1. Data not Provided by the Data Subject The fact that EDPS „further recommend[ed] that, in order to be effective, 16 the right to data portability must have a wide scope of application, and not only be applied to the processing operations that use data provided by the data subject“16 did not lead to a change of underlying exception and in the final text any data not provided by the data subject falls out of the scope of Art. 20 GDPR. The expression „provided by data subject“ is less clear than it might appear on the first glance – it will certainly address the so-called „user generated content“ such as in wikis, discussion forums, posts, chats, tweets, podcasts, digital image galleries, videos, audio files and other forms of media created by users of an online system or service17. More difficult, however, to assess is the question whether information 17 provided by the user unknowingly still falls within the scope of the right to data portability. This could be clicks, most-visited pages, or generally behavioural information. The user behaviour lead to inputs of the user, which create the behavioural data, despite that data being provided „unknowingly“. There are many examples for disclosure even of sensitive data based on 18 nothing more than the search entries18. The more sophisticated a service is, the more difficult it becomes to determine whether or not data is being provided by the user. Likewise, it shall not be forgotten that providers have a legitimate interest to maintain business secrets, which includes analytic methods and algorithms. 2. Data Processing Not Based on Consent or Contract The right to data portability applies only to data, which initial processing 19 is based on consent or contract – a limitation, which was not included in the original LIBE text. EDPS and EDRI19 considered the same: whether the applicability of the right to data portability should be extended to cases beyond processing based on contract or consent“, which was also 16 Opinion 03/2015 Europe’s big opportunity: EDPS recommendations on the EU‘s options for data protection reform, 27 July 2015 (updated with addendum, 9 October 2015), p.13, ref.34. 17 https://en.wikipedia.org/wiki/User-generated_content#Legal_problems. 18 http://www.nytimes.com/2006/08/09/technology/09aol.html?_r=2&. 19 EDRi, Protect my data, see http://protectmydata.eu/articles/articles-11-20/ article-18/.
271
Radina Stoykova
the proposal of the Commission20. However, it was pointed in the trilogy discussion that the technical and implementation burden for controllers needed to be reduced and that, in context of Art. 20 GDPR, processing on other lawful grounds than consent or contract often is much more complicated, involves more participants and will therefore (regarding the right to data portability) impose more troubles for the controller. 3. Technical Feasibility 20 A major limitation to the right to data portability is the limit imposed by the requirement of „technical feasibility“. While according to Recital 68 „Data controllers should be encouraged to develop interoperable formats that enable data portability“, there is no obligation to do so laid down in the law. In addition, the technical requirement to provide information in structured, commonly used, machine-readable format may serve as an excuse for controllers to keep data in non-readable formats, when not obliged to maintain compatible system. 21 However, the restriction literally is limited to the technical compatibility of „systems“, not the structuring of the data being processed. By using common standards and protocols, such as HTML for accessing websites or IMAP for accessing an email account, the website or the email can be interpreted and displayed regardless of the underlying systems. Jointly with the requirement to encourage development of interoperable formats, this can lead to interesting technical and legal solutions. a) Soft Law Approaches 22 Reading the documents in relation to the data protection reform and the newest initiative for the Digital Single Market it is notable that the texts amounts of requirements for standardization. Interlinking statutory law with soft law approaches gains importance since where statutory law faces difficulties adapt soft law approaches can more easily evolve and move on together with the technical development. Soft law, such as standards, guidelines, best practices provide incentives for international cooperation. Data portability as a concept (not only as a data protection rule) and the inseparably connected technical concept for interoperability are 20 http://ec.europa.eu/justice/data-protection/document/review2012/com_ 2012_11_en.pdf – in Article 18 (1) no requirement for consent/contract based processing; only in 18 (2) this is a prerequisite but also broader stated „any other information provided by the data subject and retained“.
272
Data Portability
one of the first hybrids build in a way to combine sophisticated technical developments with not less complicated legal regimes in order to serve the digital market, but also to shape it. b) Data Portability as a First Step towards Interoperability Papakonstantinou suggested that „the intent of this provision could have 23 been achieved through a general obligation to interoperability“, which refers to the ability of diverse systems to work together and will facilitate movement across platforms“.21 Hornung points out that „the proposed provision might not completely reach its aim […] and this „could only be solved by a duty to provide for interoperability“22. This addresses the concern that users might not take full advantage of the right, finding it too burdensome and might prefer not transferring or copying their data/ profile from one platform to another, but to preferably be able to manage their data irrespectively of the platform, while all platforms can interact with one another. However, data portability can be seen as a first step towards interop- 24 erability, as it requires a minimum technical synchronization between services. The Commission pointed out this requirement in the Microsoft case23, where the refusal of Microsoft to provide competitors „information necessary for their products to interoperate with Windows“ was considered as abuse of dominance. c) GDPR and Technical Implementation of Data Portability The final text of GDPR does not provide any guidance on how data por- 25 tability should be implemented in practice or any clarification of the technical requirements for it. WP29 stated that the data portability provision „introduces a right which requires technical implementation. A difference in how the right to data portability is applied in practice might lead to differences in level of protection of individuals and obligations on the controller which might hamper the internal market.“ This equals the approach adopted to all interoperability and data portability matters – introducing them as concepts on principle level and
21 FRA Symposium report at http://fra.europa.eu/sites/default/files/fra_uploads/ 2280-FRA-Symposium-data-protection-2012.pdf. 22 Hornung, „A General Data Protection Regulation For Europe? Light And Shade In The Commission’s Draft Of 25 January 2012“, (2012) 9:1 SCRIPTed 64 http://script-ed.org/?p=406. 23 http://ec.europa.eu/competition/sectors/ICT/microsoft/investigation.html.
273
Radina Stoykova
regulating only legal areas where this level of openness can impose risks for other rights and interests. d) Possible Technical Solutions 26 For now, the only requirement is for structured, commonly used and machine-readable data, which can be enabled through interoperable formats, but only when technically feasible. Henault24 refers to the different layers of data representation, where the first layer, the textual representation, is not sufficient to accomplish the idea behind portability. This is a major difference to the right of access – the exercising of the latter resulting (usually) in textual representation, while data portability requires enriching the data with semantics, e. g. other layers like metadata (the structured, descriptive view) as well as visualisation, citation, representation on logical and on conceptual level. 27 Further, description languages like XML, RDF, OWL, etc., enable applications and web services that are interoperable and can work without technical hindrance with one another and more importantly all of the content, created on the basis of these syntactic standards will be machine-readable even when the software ceases to exist. 4. Rights of Others 28 On the trilogy discussion the data protection rights of others were taken into consideration „DE [Germany] referred to the difficulty/impossibility to apply this right in ‚multi-data subject‘ cases where a single ‚copy‘ would contain data from several data subjects, who might not necessarily agree or even be known or could not be contacted“25. The importance of data protection and balancing it against the freedom of expression was stressed out already long ago under the regime of Directive 95/46/EC by CJEU in the Lindqvist case26. 29 In terms of data protection, this means that e. g. data on social networks such as pictures showing others (users or non-users), comments by other users and posts of friends, which are typical for social network profiles, generally cannot be transferred or received on the basis of Art. 20 GDPR, without prior consent. 24 http://www.businesscloudnews.com/2013/07/29/cloud-experts-call-for-global-standards-on-data-portability. 25 Ibid. #4. 26 Case C101/01, Bodil Lindqvist, Judgment of the Court, 6 Nov. 2003, para. 88-90.
274
Data Portability
a) The Household Exemption Under the previous regime of Directive 95/46/EC such activity – that the 30 household exemption does not apply – would have made the user a controller in the light of the Lindqvist-Decision27. This situation, however, has changed with the GDPR. Recital (18) GDPR states that „Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities“. This clearly deviates from the CJEU ruling in the Lindqvist-Case in the sense that online activities and explicitly social networking are considered to possibly fall indeed under the household exemption. What remains unclear, however, is under which circumstances. Not only leaves the word „can“ space for interpretation, also the reference back to „correspondence and the holding of addressees“ by the words „within the context of such activities“ seems to limit the applicability of the household exemption on social networking. b) Legitimate Interests (Art. 6 (1) point (f)) GDPR Following the reasoning that Art. 20 (4) GDPR creates a limitation only 31 in that sense that the general rules of GDPR apply (and not in the sense that any rights of others hinder data portability per se), Art. 20 (4) GDPR should not withstand exercising the right of data portability if the conditions of the interpretation rule of Art. 6 (1) point (f) GDPR are met. c) Relation to Rights of Third Parties The controller is obliged by Art. 20 (1) GDPR not to hinder data transfer 32 to another data controller, although this might negatively affect the controller’s business interests. As a rule of thumb, controller rights from the GDPR therefore should generally not be considered rights blocking the right to data portability, with the exception of limitation to the related right to erasure in regards of data needed to exercise a contract, which is mentioned in Recital (68) GDPR within the context of data portability. EDPS emphasises equally that „[p]rotecting business confidentiality or trade secrets cannot generally overrule the fundamental rights of individuals to privacy and data protection. Instead, reconciling the two requires a careful balancing“.28
27 Ibid. 28 EDPS Opinion 7/2015 „Meeting the challenges of big data: A call for transparency, user control, data protection by design and accountability“, 19 November 2015, p. 10.
275
Radina Stoykova
5. Public Sector 33 Another restriction as already pointed out is personal data processed in the public sector. Although individuals have a high interest in receiving e. g. their tax data to transfer it to another platform, which provides guidance on managing and control over finance, or extracting school and university information to use services assisting in application and further qualification worldwide. The legislator started a process for developing interoperability solutions and modernising the public sector under the ISA programme29, where under Recital (33) GDPR is stated that the programme „should be developed having regard to the right of end-users to access and distribute information and content, use and provide applications and services, and use terminal equipment of their choice, irrespective of the end-user’s or provider’s location or of the location, origin or destination of the information, content, application or service“30. V. The Competition Law Dimension 34 The most controversial topic in the discussion of the right to data portability was its very nature31, which led scholars and experts to very opposite opinions. On the Counsel discussion „Several […] delegations […] [i. a. Germany, UK and France] wondered whether this was not rather a rule of competition law and/or intellectual property law or how it related to these fields of law. Therefore, the UK considered this article should be deleted. NL [Netherlands] and CZ [Czech Republic] thought its scope should be limited to social media.“32 1. Data Portability as a Rule fostering the Free Flow of Data 35 The GDPR, while still guaranteeing high protection, more clearly includes the free flow of information and contributes to the singularity of the market. As stated by Andrus Ansip, Vice-President for the Digital Single Market: „We should not see privacy and data protection as hold-
29 http://ec.europa.eu/isa. 30 Decision (EU) 2015/2240 of the European Parliament and of the Council of 25 November 2015 establishing a programme on interoperability solutions and common frameworks for European public administrations, businesses and citizens (ISA2 programme) as a means for modernising the public sector. 31 See chapter II. „Nature of the Right to Data Portability“. 32 https://edri.org/files/EP_Council_Comparison.pdf , ref.89.
276
Data Portability
ing back economic activities. They are, in fact, an essential competitive advantage“33. Interpreted as a data protection rule, the right to data portability address- 36 es the status quo that if wanting to switch to a new social network, cloud provider or other web-service, customers have to pay the high cost of leaving their whole data behind, which creates a strong lock-in effect. Also, companies may use this lock-in in an anti-competitive matter by creating additional obstacles. This reduces consumer welfare and creates an oligopolistic market, where users would have to fear losing data and to become dependent on monopoly services, and providers have little incentives to invest, search or create competing services, and in case of unfair pricing or service inefficiency customers will have limited options for reaction. Vice President Almunia refers also to this aspect by stating that data por- 37 tability „goes to the heart of competition policy […]. The portability of data is important for those markets where effective competition requires that customers can switch by taking their own data with them.“34 Exactly the particularities of data markets and the regulation approach 38 to them are the prerequisites for introducing portability provisions in different legal areas. They are all targeting highly concentrated areas of the digital market, where risks like dominance abuse, customer lock-in, high switching costs or exclusionary conducts must be handled. At the same time, they are aiming to evolve jointly with a fast, technical development and to be able to address new markets, not yet developed or explored in Europe. „Big data, cloud services and the Internet of Things are central to the EU‘s competitiveness [….]. The lack of open and interoperable systems and services and of data portability between services represents another barrier for the cross-border flow of data and the development of new services (e. g. multi-modal travel information systems, data-driven science)“35. 2. The Portability Concept: Data, Number and Content Portability The right to data portability as a tool to enhance the functioning of the 39 market can be seen as part of a broader legal concept using portability
33 Agreement on Commission’s EU data protection reform will boost Digital Single Market, Brussels, 15 December 2015, IP/15/6321. 34 Ibid. 35 A Digital Single Market Strategy for Europe, Brussels, 6.5.2015, COM(2015) 192 final.
277
Radina Stoykova
as a market regulation tool, which has been already implemented in the telecommunication sector. 40 A close legal analogy to this concept can be found in the concept of „digital content portability“ as part of the copyright law reform36, which is being developed to address geo-blocking and results in limited availability of rightfully obtained content having adverse effects on the digital single market. 41 All three – number, data and content portability – are tailored digital regulation tools, transposing jointly competition and consumer protection rules to new legal fields such as data protection, telecommunications or copyright law, which aim to create better or new markets as an effect of this transposition itself, while enhancing consumption through improved consumer protection. The Commission rightfully refers to number portability, as the possibility to keep your number while switching telecom providers opens the market for new players by countering the lock-in effect, thereby serves developing new market strategies and increasing customers’ interest for new services likewise, by omitting the burdensome complications around changing telephone numbers previously linked to leaving an insufficient service. In respect to data portability the Commission consequently has stated: „With increasing use of certain online services, the amount of personal data collected in this service becomes an obstacle for changing services, even if better, cheaper or more privacy friendly services become available […]. This situation effectively creates a lock-in with the specific service for the user and makes it effectively very costly or even impossible to change provider and benefit from better services available on the market.“37 42 The complex approach of combining a couple of legal instruments in order to expand the market is applied also to content portability to „remove barriers to cross-border portability so that the needs of users can be met more effectively as well as promoting innovation for the benefit of consumers, service providers and right holders“38. The objective of the new content portability regulation is to allow „Europeans to continue to access content (films, books, football matches, TV series, music, e-books or videogames) that they bought or rented online in their country of residence when they are in another European country. Currently, the Euro36 http://europa.eu/rapid/press-release_IP-15-6261_en.htm. 37 Ibid. 38 Proposal for a Regulation of the European parliament and of the Council on ensuring the cross-border portability of online content services in the internal market, Brussels, 9.12.2015 COM(2015) 627 final.
278
Data Portability
peans do not in fact have access outside their country of origin, because of territorial licenses of copyright holders and due to trade practices of service providers (geo-blocking)“39. 3. Comparative View Although very different by nature of their legal background (copyright 43 law, telecommunication law and data protection law), the three portability rules are similar from a competition point of view and might derive from each other conclusions on strengths and weaknesses. They all address lock-in situations and high switching costs, and all provide an additional regulatory measure to competition law enforcement. While the competition law related provisions under Article 102 TFEU are designed for ex post enforcement, where abuse of significant market power must be proven in each case40, the portability provisions are applicable per se to all companies even when competition law is not or not yet infringed. They offer an ex ante minimum regulatory intervention to counteract competition law infringements and thereby further shape the digital market in a more consumer orientated way. In addition, Brown considers that the ex ante and ex post regulation of the 44 market may not be sufficient, and sees three possible solutions applied already in the telecommunication sector: „must-carry obligations which are already imposed on broadcasters and electronic program guides; application programming interfaces disclosure requirements like the ones placed on Microsoft; and interconnection requirements as imposed on telecommunications providers.“41 While number and content portability are introduced as obligations, data 45 portability is primarily a data subject right and (at least directly42) does not impose obligations for the controllers to implement the necessary technology. The reasoning for this limitation can be seen in the fact that number and content portability are (only) market regulators with direct effect on the market and with profits far exceeding the burdens for im-
39 Céline Castets-Renard, „Digital Single Market“: the European Commission presents its first measures in Copyright Law, Recueil Dalloz, 2016, n° 7, p. 388. 40 Guidance on the Commission’s enforcement priorities in applying Article 82 of the EC Treaty to abusive exclusionary conduct by dominant undertakings issued in December 2008, [2009] OJ C45/7. 41 http://blogs.lse.ac.uk/mediapolicyproject/2014/04/23/data-portability-seriesinterview-with-ian-brown/. 42 See chapter IV.3. „Technical Feasibility“.
279
Radina Stoykova
plementing them, which are relatively low. Meanwhile data portability in the complexity of its dualistic purpose leads to concerns about implementation costs and technical requirements, which may be greater than the market benefits43. While number portability imposes small data security risks, data portability on the opposite holds a risk of not only identity-theft, but also infringement of rights of others. The technical and legal challenges and implications consequently are much greater for data portability than they are for number or content portability. 46 In addition, while content portability may trigger some copyright license disputes due to not (or not yet?) fully harmonised copyright law in the member states, technically it will not require large efforts, as geo-blocking is an artificially implemented obstacle that does not result from incompatible technologies. Number portability is likewise simple to achieve, as only the reference of one telephone number linking to a certain device of a subscriber needs to be changed, and no specific technical measures must be taken. 47 In comparison, data portability syntactically and semantically involving a large range of data types and sets that need to become transferable are requiring specific measures. Article 30 and Recitals (40) to (41) of the Universal Service Directive require „cost oriented“ and transparent pricing, to be not time-consuming or burdensome for subscribers, a principle which must apply also for data portability to make it an effective tool, although in the GDPR no further clarification of that matter is provided. 4. The Portability of One’s Digital Life as Gain in Liberty 48 The relation between data and content portability and its importance to the consumer welfare was pointed out by the Council as follows: „There is also a need to address the bottlenecks in accessing one’s „digital life“ from different platforms, which persist due to a lack of interoperability or lack of portability of content and data. This hampers the use of digital services and competition. An open and non-discriminatory framework must therefore be put in place to ensure such interoperability and portability“.44 43 DE, DK and UK pointed to the risks for the competitive positions of companies if they were to be obliged to apply this rule unqualifiedly and referred to/ raises serious issues about intellectual property and commercial confidentiality for all controllers. DE, FI, SE and UK also underscored the considerable administrative burdens. 44 Online Platforms and the Digital Single Market Opportunities and Challenges for Europe, Brussels, COM(2016) 288 final, ref. 44.
280
Data Portability
This leads to the conclusion that the legislator’s intention is not only 49 to establish one single right to data portability, but to make customers’ whole „digital life“ as such portable. It can be emphasized that all this shows the intent to support liberalization of the „digital self“ from existing bounds to platforms and providers. A liberalization that may lead to the fall of factual digital monopolies, and that may change whole concepts for public life and privacy, and will create a digital economy stronger dominated by consumers’ demands. Based on Searls’ idea45 „for a new commercial order, in which customers 50 are emancipated from systems built to control them and become ‚free and independent actors in the marketplace, equipped to tell vendors what they want‘ and how, where, and when they want it and at what price“, Rubinstein examines eight key elements among which is data portability for user driven services based on data property and services on demand46. Even if these models of digital services are still facing a lot of issues in terms of technical feasibility and international legal synchronization, it must be noted that the basic principles like strong property-based digital rights, interoperability and portability regulations remove artificial barriers on the market. Enabling competition on all digital markets through portability and in- 51 teroperability has been seen as one of the key factors for ensuring innovation and new advanced digital services. The EDPS concludes that „competition between platforms and barriers to users switching Consumers’ ability to switch from platform to platform plays a crucial role in stimulating competition and innovation“47. The importance of the problem addressed by the new portability rule 52 was summarized by Tim Berners-Lee as follows: „the more you enter, the more you become locked in. Your social-networking site becomes a central platform – a closed silo of content, and one that does not give you full control over your information in it. The more this kind of architecture gains widespread use, the more the Web becomes fragmented, and the less we enjoy a single, universal information space […]. A related danger is that one social-networking site – or one search engine or one
45 Searls,“The Intention Economy: When Customers Take Charge“ (Boston: Harvard Business Review Press, 2012). 46 Rubinstein, „Big Data: The End of Privacy or a New Beginning?“ (2012). New York University Public Law and Legal Theory Working Papers. Paper 357. p. 9. 47 EDPS response to the Commission public consultation on the regulatory environment for platforms, online intermediaries, data and cloud computing and the collaborative economy, para. 5.
281
Radina Stoykova
browser – gets so big that it becomes a monopoly, which tends to limit innovation“48. 53 The critics of this view refer to the opposite effect: „The technical feasibility and the cost to platforms of providing data in a suitable format obviously needs to be considered, because if the costs are too high then that perversely becomes a barrier to entry“49. In that sense, to establish demanding rules for data portability could constitute a market-entry barrier for newcomers, and adversely even serve established players to reduce competition. 5. Potential Adverse Effects on the Market a) Potential Market-Entry Barrier for SMEs 54 „[A]voiding unnecessary administrative burden, especially for SME‘s“50 was pointed out also in the trilogy discussion and by Swire: „The text of Article 1851, however, applies to a start-up software company in a garage just as it does to a monopolist“52. Of course data portability as a data protection right must be balanced against the right to conduct business, stated in Article 16 of the EU Charter53. And it must be pointed out that the legislator considered this criticism well, since no obligations for burdensome developments or extensive technical costs are stipulated. However, portability and interoperability require broader participation of all (SMEs or tech giants) to establish them as principles on the market, in order to create positive network effects and increase competition. This is another reason, why introducing data portability by means of standardisation could be helpful. b) Potential Obstacle to Innovation 55 In the trilogy discussion, a general obligation to portability was also considered to have a negative effect on innovation, which is why only a 48 Tim Berners-Lee, Long Live the Web (Scientific American, December 2010), available at: http://www.cs.virginia.edu/~robins/Long_Live_the_Web.pdf . 49 L. Neville-Rolfe interview at: http://www.out-law.com/en/articles/2015/december/data-portability-requirements-must-not-impose-too-great-a-cost-burdenon-businesses-says-uk-minister/. 50 Ibid., #33, p.10. 51 Art. 18 was the draft version of what became Art. 20. 52 Swire & Lagos, (2013) ‚Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique,‘ Maryland Law Review, 72(2), 335-379. 53 Fundamental Rights Agency, FRA Opinion 2/2012 Data protection reform package. Vienna, 1 October 2012, p.16.
282
Data Portability
requirement for encouraging controllers to develop interoperable formats was adopted in the final text. Swire and Lagos54 consider data portability as a threat to innovation, particularly regarding new market players where some „consumer stickiness to their platform“ is needed in order to further develop, as otherwise „the profitability of such entry“ will be reduced. Graef also refers to the necessity „to have a critical mass of customers on both sides before the platform can be successfully launched“.55 Moura confirms the need of „critical mass of informational data „capital“ in order to compete“, but underlines that „the non-rivalrous nature of data demonstrates that exclusionary retention is unnecessary in order to enter the market“.56 6. Benefits to Innovation and Market-Development It can be argued that data portability is not only a tool for unsatisfied 56 users to leave providers but that it can be used in a more positive manner by customers and companies. Multi-homing of services will allow users to use substitutable platforms for different purposes. Instead of considering data portability as a burden it can be turned into competition driving force, and thereby become a new business model. Another indirect market effect from data portability is giving positive competitive results – „user generated content“ market strategies57. a) A Rule of Reason Approach Another relevant and important critic by Swire is that the complexity 57 of the issues on the digital market „supports a rule of reason approach, based on the characteristics of a particular market, rather than the per se approach of the RDP“. First, the notion for sector-specific rules also reflects the US antitrust doctrine, which is based on sector-specific regulation, while on EU level the competition rules apply to the whole econ-
54 Ibid.,#50. 55 Inge Graef, Mandating portability and interoperability in online social networks: regulatory and competition law issues in the European Union, Telecommunications Policy 2015, Vol. 39, No. 6, p. 502-514. 56 Paul T. Moura, The Sticky Case of Sticky Data: An Examination of the Rationale, Legality, and Implementation of a Right to Data Portability Under European Competition Law, p. 27-28, available at: http://www.lse.ac.uk/media@ lse/research/mediaWorkingPapers/MScDissertationSeries/2013/118-Moura. pdf. 57 http://blog.hubspot.com/marketing/examples-of-user-generated-content#sm. 00001adsm1hjpf1ry2i1ajkmxwfyc.
283
Radina Stoykova
omy and, as held by the Commission in the Deutsche Telecom case, „the competition rules may apply where the sector-specific legislation does not preclude the undertakings it governs from engaging in autonomous conduct that prevents, restricts or distorts competition“58. 58 If considering data portability only as competition regulator, it is true that its positive effect on competition might be significantly reduced on those markets which are not well defined and require tailor-made rules in order to ensure effective competition. More importantly, Swire further considers that the lack of data portability may not in each case hamper competition and companies must have the possibility to „prove that efficiency justifications outweigh competitive harm caused by restricting data transfers“59. 59 By researching the most important CJEU decisions in competition law60, Moura reasons61 that „exclusionary practice is not considered harmful to consumers if it gives rise to efficiencies, productivity, or innovation“ and also concludes that the right to data portability may in some cases prohibit permissible conduct. The relevance and importance of these considerations and also the data protection function in the right to data portability left no place for the legislator to enforce it. And since it was also not introduced as a sector-specific rule (for SNSs or cloud computing), its provision stayed as recommendation and principle62. 60 Engels63 makes an experiment to compare three main platform types: marketplaces, social networks and search engines, in order to establish if data portability will have an actual effect on the competition. By using the five tests economies of scale, congestion, differentiation, switching costs and network effects applied to the three platform types, and by analysing the hypothesis of complementary and substitute markets, 58 2003/707/EC: Commission Decision, Official Journal L 263, 14/10/2003 P. 0009 – 0041. 59 Ibid. #50, where the authors are arguing that the lack of clarification on the market, the relations between market players and the EU regulation, which cannot address clouds issues, may reflect negatively on the interoperability and portability of the whole supply chain and between cloud provider. 60 Case 27/76, United Brands Co. and United Brands Continental v Commission [1978], E.C.R. 207; Case 85/76, Hoffmann-La Roche & Co. AG v Commission [1979], E.C.R. 461; Case T-30/89, Hilti v Commission [1991] E.C.R. II-1439; Case C-95/04 P, British Airways plc v Commission [1997], E.C.R. I-2331. 61 Ibid., #54, p.17. 62 Ibid. 63 Engels (2016). Data portability among online platforms. Internet Policy Review, 5(2).
284
Data Portability
she is coming to the conclusion that „data portability is generally rather recommended in cases where platforms offer complementary products, and in cases where platforms offer substitute products and the risk of anti-competitive conduct is high […]. Therefore, search engines should be the focus of a data portability regulation, while trading platforms and social networks should rather be only obliged to make personal data portable in case they offer complementary or substitute products and are particularly large. In all other cases, a strict implementation of the right to data portability is rather not recommended […] Data portability could significantly strengthen innovation by making data more available – but it could also hamper innovation by making data too available“.64 Both critics – by Swire and Engels – are relevant, and are taken into con- 61 sideration by the legislator, when introducing data portability. The negative effects on competition are addressed by not involving any obligation for data portability in the GDPR provision. While both critics do not take into consideration the hybrid and highly complex nature of the right to data portability as a regulation tool, and therefore degrade it to competition „per se“ rule. However, the data portability right is a data protection rule with competition implications aiming to add competition value to the data protection regime. b) Network Effects on the Market Interesting is also the concept of network effects on the market in rela- 62 tion to the customer’s option for switching. Network effects occur when the utility that a customer derives from consumption of a good or service increases with the number of others purchasing the good or service. A network effect is either direct when a product or service becomes more valuable as the number of users grows, or indirect when the increasing number of users leads to more complementary products or services that raises the value of the network65. The consideration that constant switching of users from one platform 63 to another will lead to compromising these network effects is basically a misunderstanding of the core idea behind data portability. Firstly, it appears a bit exaggerated to assume that all customers will start moving their profiles on a somewhat daily basis. Secondly, while on short term networking effects increase consumption and utility, on long term they tend to lead to monopolisation of the market and to create entry barriers. 64 Ibid. 65 Katz & Shapiro, 1985: Network Externalities, Competition, and Compatibility. American Economic Review 75(3), 424- 440.
285
Radina Stoykova
64 For now, the positive direct or indirect network effects on the digital markets are typical for a couple of dominant platforms at the time. Data portability is not preventing these effects from happening on each platform itself, but it is also allowing them to happen on a broader scale between different platforms, not necessarily providing the same or similar services. The so-called value-added services consist of two platforms which by enabling portability/interoperability between them increase the value for customers of both of them and this is also a possibility for platforms offering substitutive services. c) The Necessity to Regulate 65 The lack of effective competition on the online market has been examined by the Commission, starting with competition investigations against IT giants like Microsoft, IBM and Intel, followed by the decision that the acquiring of WhatsApp by Facebook constitutes a concentration66 and the conclusion that Google „is abusing a dominant position, in breach of EU antitrust rules, by systematically favouring its own comparison shopping product in its general search results pages in the European Economic Area (EEA). The Commission is concerned that users do not necessarily see the most relevant results in response to queries – to the detriment of consumers and rival comparison shopping services, as well as stifling innovation“67. 66 Now, in such cases data portability can be enforced with competition law tools. The next investigation has been initiated by the Bundeskartellamt and is concerning Facebook as a social network provider with significant market power68. All these facts indicate that the markets, on which data portability could serve its role as preventative competition-enhancing legal instrument, are already dominated by companies with significant market power, where not only consumers but also competitors are not well protected against higher prices, reducing of service quality or entry barriers. 67 Moreover, there are indications that companies are reluctant to share their data and tend to more market concentration and protecting their positions. For example, Microsoft acquired LinkedIn while its investi66 Case M.7217 – Facebook / WhatsApp Commission decision Brussels, 3.10.2014 C(2014) 7239 final. 67 Antitrust: Commission sends Statement of Objections to Google on comparison shopping service, Brussels, 15 April 2015, MEMO/15/4781. 68 http://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html?nn=3591568 .
286
Data Portability
gation by the Commission showed abusive practices of creating barriers for new market entries69. A website, Power.com, enabling its users to aggregate data about themselves that is otherwise spread across various social networking sites and messaging services, including LinkedIn, Twitter and MySpace, was accused by Facebook for „scraping“, and sued for copyright infringement. Critics pointed out that the user’s profile is not owned by Facebook, which was indirectly admitted by Facebook by arguing that only the content of the Facebook page that surrounded the user’s data is copyrightable and is owned by Facebook70. Facebook also blocks Google’s FriendConnect service from retrieving a user’s Facebook data, although the „firm has been able to grow so fast precisely because it has sucked in e-mail addresses from new members, enabling them to see which of their contacts are also on the network“.71 Some imply for a corporate war between the „king of online advertising“ Google and the „master of social media“ Facebook which only reflects in targeting and objectifying customers72. The role of data portability as a first step to achieving interoperability 68 must be also acknowledged especially in competition perspective, since interoperability will enable a complete new market development. As stated by ETSI: „Interoperability is driven by market demand. It gives users much greater choice of products, and allows manufacturers to benefit from the economies of scale of a wider market.“73 To address the question, the EU regulator is introducing the concept of 69 portability on a broader scale – in copyright, software, data protection, competition or telecommunication market, although the debates around all of them are referring to their complexity and high expectations from all players in the markets. The right to data portability collides strongly protected individual rights with copyrights of platforms providers and the right to conduct business – also with intellectual property rights, freedom of expression of others and impose significant concerns to the right to privacy and data security. Similar in intellectual property the rights of copyright and patent owners must be balanced against the exceptions for fair use narrowing the scope of the property rights. The complexity of enabling portability and interoperability comes from its balancing nature – these are concepts which hide risks for all of the market 69 70 71 72
http://ec.europa.eu/competition/sectors/ICT/microsoft/investigation.html. https://en.wikipedia.org/wiki/Facebook,_Inc._v._Power_Ventures,_Inc. http://www.economist.com/node/17461435. http://archive.fortune.com/2011/11/03/technology/facebook_google_fight. fortune/index.htm. 73 http://www.etsi.org/technologies-clusters/clusters/interoperability.
287
Radina Stoykova
players and challenge the authorities. That is why they are formulated as concepts – they set only the goal towards new markets and more importantly to new legal thinking. VI. Conclusions 70 The right to data portability is of hybrid nature, both serving the data subject’s protection and enabling the free flow of data and as such being an instrument to enhance competition and develop the digital singular market. However, it has been codified with several exceptions, limiting its scope and risking to turn it into a blunt sword. 71 The experiences with number and content portability in telecommunications and copyright law indicate that data portability, as well, might turn out to be a useful regulatory tool to enhance competition by countering lock-in effects. Nevertheless, data portability is technically way more complex to achieve than number portability, which can result in reshaping and innovating the online markets and services, or on the contrary – creating adverse effects to market-entry of newcomers. Whether its ambitious aim will be achieved depends on the further actions of the Commission, the development of formats and standards, and not the least the acceptance of that new right by those who stand in its very centre: the data subjects.
288
Jahreschronik 2017 Veronika Fischer* I. 24. Drei-Länder-Treffen 2017 II. DGRI-Jahrestagung III. 18. DSRI-Herbstakademie IV. Aktivitäten der Fachausschüsse V. Publikationen
VI. Schlichtungsstelle IT VII. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt VIII. Preise und Auszeichnungen IX. Wissenswertes aus der DGRI
I. 24. Drei-Länder-Treffen 2017, Innsbruck (29.6.-1.7.2017) Das Drei-Länder-Treffen 2017 wurde an der Universität Innsbruck ab- 1 gehalten. Behandelt wurden die Themen Blockchain/Distributed Ledger Technology und IT-Sicherheit im Ländervergleich Deutschland, Österreich, Schweiz. Den Auftakt am Freitag bildete der Themenblock Blockchain – Kon- 2 zepte/Regulierung unter Moderation von Prof. Dr. Dr. Walter Blocher, Universität Kassel. Zunächst hielt Torsten Stein, Geschäftsführer faizod GmbH & Co. KG, Dresden, ein Einführungsreferat zu den technischen Grundlagen. Anschließend gab Patentanwalt Dipl.-Phys. Markus Hössle, Stuttgart, einen Überblick über Patentanmeldungen im Zusammenhang mit Blockchain, Distributed Ledger Technology und Bitcoin. Jan Seffinga, Blockchain Leader Deloitte Switzerland, Zürich, berichtete über die Relevanz der Blockchain-Technologie aus der Sicht eines Beratungsunternehmens. Thomas Richter, Vice President, Legal – IT/IP/Cyber Security, Deutsche Bank AG, Frankfurt/Main, behandelte die rechtlichen Aspekte aus Sicht der Finanzindustrie. Von den technischen Merkmalen ausgehend identifizierte er zunächst Spannungsfelder in Bezug auf die (Nicht-) Erfüllbarkeit rechtlicher Anforderungen und ging anschließend anhand von Anwendungsbeispielen auf die sektorspezifischen Anforderungen der Finanzindustrie und Einzelrechtsfragen unter Berücksichtigung des regulatorischen Umfelds ein. Abgerundet wurde der Themenblock durch Jens Münzer, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin),
* RAin Dr. Veronika Fischer, Geschäftsführung der DGRI, Karlsruhe.
289
Veronika Fischer
Bonn, der die aufsichtsrechtlichen Gesichtspunkte von Blockchain und Virtual Currencies aufzeigte. 3 Der zweite Themenblock Blockchain und Distributed Ledger Technology wurde moderiert von Prof. Dr. Peter Bräutigam, München. Der IT-Sachverständige Dr.-Ing. Peter J. Hoppen, Brühl, befasste sich mit der Verwaltung von Softwarelizenzen auf der Blockchain. Anschließend erläuterte RA Dr. Markus Kaulartz, München, das Konzept und Rechtsfragen der Smart Contracts und wies auf die Potentiale der Blockchain-Technologie für die Streitschlichtung hin. 4 Im darauffolgenden Block, moderiert von RA Dr. Robert G. Briner, Zürich, wurden die aktuellen Entwicklungen in Gesetzgebung und Rechtsprechung in den Ländern diskutiert. Es referierten: RAin Isabell Conrad, München (D), RA Dr. Georg Huber, Innsbruck (A) und RA Dr. Mark A. Reutter, Zürich (CH). 5 Den Abschluss des Tages bildeten eine Gondelfahrt mit der Hungerburgbahn auf die Nordkette und der Besuch des Restaurants Seegrube auf 1.905 m Höhe mit Ausblick über Innsbruck. 6 Unter Moderation von Prof. Dr. Andreas Wiebe, Universität Göttingen, wurde der Samstag eingeleitet mit einer Keynote des Vorsitzenden der DGRI, Prof. Dr. Dirk Heckmann, Universität Passau, zu „IT-Sicherheit und Sicherheitsrecht“. Darauf folgten Referate zum Stand der Regulierung in den Ländern. Es referierten: Prof. Dr. Reinhard Posch, Technische Universität Graz, CIO der österreichischen Bundesregierung, Leiter der Plattform Digitales Österreich, wissenschaftlicher Leiter des Zentrums für sichere Informationstechnologie (A-SIT), Wien, (A), Prof. Dr. Gerald Spindler, Universität Göttingen (D) und RAin Dr. Ursula Widmer, Bern (CH). 7 Den Ausklang des Drei-Länder-Treffens bildete ein Stadtrundgang durch Innsbruck. Für die organisatorische Unterstützung vor Ort bedanken wir uns bei Univ.-Prof. Mag. Dr. Alexander Schopper und dem Institut für Unternehmens- und Steuerrecht der Universität Innsbruck. II. Jahrestagung der DGRI, Köln (9.-11.11.2017) 8 Die DGRI-Jahrestagung 2017 stand unter dem Oberthema „Digitale Agenda. Gesetzgebung – Rechtsprechung – Rechtspraxis“. Beherbergt wurde sie von der TÜV Rheinland Hauptverwaltung in Köln. Unabhängig vom Ausgang der Bundestagswahl am 24.9.2017 spielen die Herausforderungen durch die zunehmende Digitalisierung und die Netzpolitik 290
Jahreschronik 2017
eine besonders wichtige Rolle in der neuen Legislaturperiode. Bereits die Wahlprogramme der Parteien, aber auch die Koalitionsverhandlungen suchten Antworten auf die Fragen: Was gehört auf die Digitale Agenda? Wie viel Regulierung braucht und wie viel verträgt die IT-Entwicklung, wenn man sowohl Innovationen fördern als auch Rechtsgüter schützen will? Die DGRI-Jahrestagung griff hierzu wichtige Themenfelder auf, um Impulse für die notwendige rechtspolitische Diskussion zu setzen. Am Vorabend hatten die Teilnehmer zunächst bei der vom Verlag 9 Dr. Otto Schmidt organisierten Führung durch das Duftmuseum im Farina-Haus und anschließend beim Begrüßungsabend auf Einladung der Kölner IT-Rechts-Kanzleien die Gelegenheit zum Austausch und Networking. Moderiert von Prof. Dr. Dr. Walter Blocher, Universität Kassel, be- 10 gann der Freitag mit einer Keynote zur Internetregulierung von Prof. Dr. Hubertus Gersdorf, Universität Leipzig. Anschließend befasste sich Julia Topel, Vorsitzende der 6. Beschlussabteilung des Bundeskartellamtes, Bonn, mit dem Kartellrecht als Mittel zur Machtbegrenzung globaler Internetdienstleister. Matthias Schmid, Bundesministerium der Justiz und für Verbraucherschutz, Berlin, berichtete zum Stand der Urheberrechtsdebatte in Brüssel. Hieran schloss sich ein Ausblick auf die Digitalpolitik zwischen Brüssel und Berlin von Dr. Andreas Goerdeler, Ministerialdirigent, Bundesministerium für Wirtschaft und Energie, Berlin, an. In dem darauffolgenden Themenblock, moderiert von Prof. Dr. Peter 11 Bräutigam, München, wurden Themen rund um die Technikgestaltung und Vertragspraxis behandelt. Prof. Dr. Gerhard Wagner, Humboldt-Universität zu Berlin, untersuchte die Produktbeobachtungspflichten bei autonomen Systemen. Prof. Dr. Louisa Specht, Universität Passau, befasste sich mit den vertragsrechtlichen Implikationen bei Big-Data-Verträgen und präsentierte einen Lösungsansatz für das Spannungsverhältnis zwischen Datenschutz und Datenverwertung. RA Prof. Dr. Christian Czychowski, Berlin, zeigte die Konsequenzen der Urheberrechtsnovelle für die Vergütungsansprüche von Programmierern auf. Im Anschluss befassten sich Prof. Dr. Axel Metzger, Humboldt-Universität zu Berlin, und RA Jürgen Beckers, Darmstadt, mit der Lizenzierung indirekter Nutzungen bei Software und den rechtlichen Grenzen des Partizipationsinteresses. Nach der Sitzung wurde die jährliche Mitgliederversammlung abgehal- 12 ten. Für den Festabend war die Sky Lounge im Triangle-Turm mit Blick auf den Kölner Dom für die Teilnehmer der Tagung exklusiv reserviert. Er bildete den Rahmen für die Verleihung des DSRI-Wissenschafts- und 291
Veronika Fischer
Absolventenpreises (siehe dazu VIII.) durch RA Dr. Anselm BrandiDohrn, Mitglied des DSRI-Stiftungsrates, Berlin. Die Festrede hielt der Vorsitzende der DGRI, Prof. Dr. Dirk Heckmann, Universität Passau. „Frei nach Dürrenmatt: Der Richter und sein Hacker“ wurde sie am Vorabend des 11.11.2017 in Köln in Form einer Büttenrede vorgetragen. 13 Am Samstag referierte unter Moderation von Dr. Matthias Baumgärtel, EWE TEL GmbH, Oldenburg, der Träger des Best Speech Awards der DSRI Herbstakademie Jan Mysegades, Deutsches Forschungsinstitut für die öffentliche Verwaltung, Speyer, zur gerichtlichen Beweisführung durch statistische Computerprogramme. Prof. Dr. Franz Hofmann, FAU Erlangen-Nürnberg, untersuchte die Reichweite des Gleichheitssatzes bei algorithmischer Entscheidungsfindung im Zusammenhang mit Dynamic Pricing. 14 Der darauffolgende Themenblock befasste sich mit der rechtlichen Einordnung von Fake News. Moderiert von RA Jörg Wimmers, Hamburg, befasste sich das Panel mit der Frage, ob das Netzwerkdurchsetzungsgesetz (NetzDG) ein geeignetes Instrumentarium bereithält, um Fake News wirksam zu begegnen. Eingeleitet wurde der Themenblock durch einen Bericht aus der Praxis zur Umsetzung des Gesetzes von Dr. Georg Nolte, Senior Legal Counsel, Google Germany GmbH. Margarete Reske, Vorsitzende Richterin am OLG Köln, gab einen Überblick über die Rechtsprechung zum Presse- und Äußerungsrecht, und Prof. Dr. Karl-Nikolaus Peifer, Universität zu Köln, diskutierte Einzelfragen der Providerhaftung im Zusammenhang mit dem Phänomen Fake News. III. 18. DSRI-Herbstakademie, Neue Universität in Heidelberg (6.-9.9.2017) 15 Die Herbstakademie bietet Nachwuchswissenschaftlern und -praktikern ein Forum zur Diskussion der aktuellen Entwicklungen des Informationstechnologierechts. Unter dem Oberthema „Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren“ wurden bei der 18. DSRI-Herbstakademie an der Neuen Universität Heidelberg Vorträge auf den Gebieten des Immaterialgüterrechts, des Telekommunikationsrechts, des Fernabsatz-, Datenschutz- und Strafrechts sowie der Rechtsinformatik gehalten. Vertieft wurden die einzelnen Themenblöcke durch „Updates“ von Experten zur Rechtsentwicklung der vergangenen 12 Monate. Die Vorträge sind in einem Tagungsband veröffentlicht und können als Podcast unter www.dsri.de abgerufen werden.
292
Jahreschronik 2017
IV. Aktivitäten der Fachausschüsse Die DGRI-Fachausschüsse trafen sich im Berichtsjahr zu insgesamt sie- 16 ben Sitzungen. 1. Fachausschuss Compliance und Strafrecht Der Fachausschuss Compliance und Strafrecht tagte am 19.1.2017 an der 17 Leibniz-Universität Hannover. Die Sitzung fand im Anschluss an eine Tagung zu juristischen Perspektiven von Bitcoin statt und bot den Teilnehmern die Gelegenheit zur gemeinsamen Diskussion der strafrechtlichen Probleme der virtuellen Währung. 2. Fachausschuss Firmenjuristen Die Firmenjuristen kamen am 5.5.2017 bei GE Global Research, Gar- 18 ching, zusammen. Auf der Agenda standen ein „Praxisbericht aus Forschung und Anwendung“ (Dr. Carlos Härtel, CTO Europe, General Electric), „Bitcoin, Blockchain und Smart Contracts“ (Jyoti Pakrasi, Bearing Point, Management & Technology Consultants), „Rechtliche Aspekte des 3D-Drucks“ (RA Prof. Dr. Jan-Bernd Nordemann) und „Industrial Internet der Dinge und Big Data“ (Dr. Andres Leßmann, General Electric Deutschland Holding GmbH). Am 20.10.2017 wurde das zweite Jahrestreffen der Firmenjuristen bei der 19 Gameforge AG im Technologiepark Karlsruhe abgehalten. RA Dr. Christian-Henner Hentsch, Justiziar Bundesverband Interaktive Unterhaltungssoftware e. V., Berlin, gab einen Ausblick auf die Entwicklung des IT-Rechts in der nächsten Legislaturperiode. Tobias Haar befasste sich mit der Vermarktung von digitalem Content am Beispiel der Computerspielindustrie. Bei RA Ben Hansen, Geschäftsführer, und Katrin Schürmann, Legal Product Designer, beide jursearch GmbH, Karlsruhe/Berlin, ging es um die softwaregestützte Implementierung der DSGVO. SRA Willi Vett, Head of Legal Digital & DACH Amadeus IT Group und RA Dr. Dirk Monheim, beide München, erläuterten die gesetzlichen Änderungen zur Arbeitnehmerüberlassung und die Auswirkungen auf die ITVertragsgestaltung. 3. Fachausschuss Internet und eCommerce Der Fachausschuss Internet und eCommerce lud am 29.9.2017 zu einer 20 Sitzung in der Hochschule Darmstadt. RAin Dr. Michaela Weigl, Frankfurt/Main, stellte den ersten Entwurf der ePrivacy-Verordnung der EUKommission vor und beschäftigte sich mit den Auswirkungen auf Inter293
Veronika Fischer
net und eCommerce, insbesondere auf das Setzen von Cookies und das Direktmarketing. 21 RA Jens Engelhardt knüpfte hieran mit weiteren aktuellen Entwicklungen im eCommerce-Recht an. Seit dem 1.2.2017 bestehen für B2COnlinehändler – neben der Hinweispflicht auf das Online-Streitbelegungsverfahren der EU – zusätzliche Informationspflichten nach dem Verbraucherstreitbeilegungsgesetz (= Umsetzung der europäischen ADR-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten 2013/11/EU). Der Vortrag beleuchtete beide Optionen der alternativen Streitbelegung und stellte unter Berücksichtigung erster Gerichtsentscheidungen rechtskonforme Umsetzungsalternativen zur Diskussion. In dem zweiten Teil des Vortrags wurde die neuere Rechtsprechung zum Widerrufsrecht und zu dessen Ausnahmen besprochen. 4. Fachausschuss Schlichtung 22 Die Sitzung des Fachausschusses Schlichtung am 9.11.2017 bei DLA Piper, Köln, diente der Standortbestimmung und Diskussion denkbarer Zukunftsmodelle für die Schlichtung im IT-Bereich. RA Dr. Markus Kaulartz, München, berichtete von praktischen Erfahrungen beim Einsatz von Blockchain-Technologie zur Streitschlichtung im Rahmen eines Modellprojekts. Dabei stellte er den Bezug zur automatisierten Leistungsdurchführung durch Smart Contracts her und erörterte mögliche Vorteile für das Schlichtungsverfahren. Zugleich diente die Sitzung dem Erfahrungsaustausch der Schlichter sowie der Information über die aktuelle Verfahrensstatistik und die Aktivitäten der Schlichtungsstelle. 5. Fachausschüsse Outsourcing und Datenschutz 23 Die Fachausschüsse Outsourcing und Datenschutz schlossen sich zu einer gemeinsamen Sitzung zusammen, um die Auswirkungen des Inkrafttretens der Datenschutzgrundverordnung auf bestehende und zukünftige Outsourcing-Vorhaben zu untersuchen. Die Sitzung fand am 1.12.2017 bei Noerr LLP, München, statt. Es referierten RA Thorsten Sörup zu „Joint Controllership nach Art. 26 DSGVO im Outsourcing und bei Einschaltung von IT-Dienstleistern“, David Sänger, Legal Counsel Compliance & Principle Legal Matters, GEA Group AG, zu „VendorenManagement im Lichte der DSGVO“ und Alexander Filip, Leiter Referat Internationaler Datenverkehr, Bayerisches Landesamt für Datenschutzaufsicht, zu „Internationalen ADV-Konstellationen nach der DSGVO – die Sicht der Behörden“.
294
Jahreschronik 2017
6. Fachausschuss Vertragsrecht Der Fachausschuss Vertragsrecht lud am 8.12.2017 zu einer Sitzung bei 24 CMS Hasche Sigle, München, ein. Die Sitzung gab einen Ausblick auf die Auswirkungen der Änderungen des BGB (Reform des Bauvertragsrechts) auf IT-Verträge. Das „Gesetz zur Reform des Bauvertragsrechts, zur Änderung der kaufrechtlichen Mängelhaftung, zur Stärkung des zivilprozessualen Rechtschutzes und zum maschinellen Siegel im Grundbuch und Schiffsregisterverfahren“ vom 28.4.2017 trat am 1.1.2018 in Kraft. RA Prof. Dr. Jochen Schneider, München, erörterte die sich aus dem Gesetz ergebenden Neuerungen für IT-Verträge und ging hierbei auf ausgewählte Probleme wie die Änderungen zur Abnahme, die Kündigung aus wichtigem Grund, Aufwendungen bei Nacherfüllung, die besonderen Bestimmungen für Rücktritt und Schadensersatz und den Rückgriff des Verkäufers ein. Im Anschluss daran erläuterte RA Dr. Thomas Stögmüller, München, die Abgrenzung zwischen Rücktritt, Kündigung aus wichtigem Grund und freier Kündigung bei IT-Projektverträgen. V. Publikationen 1. Stellungnahmen der DGRI 25
Im Jahr 2017 hat die DGRI zwei Stellungnahmen verfasst: a) Kodex E
Die Europäische Kommission hat im September 2016 einen Vorschlag 26 für die Reform des europäischen Rechts für die elektronische Kommunikation vorgelegt. Der Kommissionsvorschlag umfasst zwei Rechtsakte: zum einen den „Europäischen Kodex für die elektronische Kommunikation“, zum anderen den Entwurf einer Verordnung, mit der das beratende Gremium europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) in eine EU-Agentur umgewandelt werden soll. Bei dem Entwurf des europäischen Kodex handelt es sich um eine Richtlinie, mit der vier der fünf derzeit bestehenden, zuletzt 2009 reformierten Richtlinien des EU-Telekommunikationsrechts zusammengefasst, übersichtlicher strukturiert und an die geänderten Marktbedingungen angepasst werden sollen. Die DGRI begrüßte in ihrer Stellungnahme vom 13.2.2017 zu dem Vorschlag der europäischen Kommission für eine Richtlinie über den europäischen Kodex für die elektronische Kommunikation (COM(2016)590 final) die geplante Reform und kommentierte ausgewählte zentrale Punkte der vorgeschlagenen Neuregelung.
295
Veronika Fischer
b) Netzwerkdurchsetzungsgesetz (NetzDG) 27 Im Rahmen der Verbändeanhörung des Bundesministeriums der Justiz und für Verbraucherschutz hat die DGRI zu dem Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) Stellung genommen. In ihrer Stellungnahme vom 30.3.2017 warnte die DGRI davor, ein Gesetzgebungsvorhaben in einem grundrechtssensiblen und rechtlich wie technisch so komplexen Bereich unter den Zeitdruck eines imminenten Ereignisses zu stellen. Die Stellungnahme berücksichtigte bereits den geänderten Entwurf, wie er am 29.3.2017 vorgelegt wurde. Sie wies auf europarechtliche, verfassungsrechtliche und völkerrechtliche Einwände hin und begründete dies unter anderem mit kompetenzrechtlichen Erwägungen, Verstößen gegen Art. 14, 15 ECRL und der zu geringen Berücksichtigung der Kommunikationsfreiheiten aus Art. 5 GG. Beide Stellungnahmen sind abgedruckt in diesem Band und abrufbar unter www.dgri.de. 2. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC) 28 Die Kooperation mit der JIPITEC als Forum für die Analyse des europäischen Rechts wurde im Berichtsjahr weiter fortgesetzt. Mit Prof. Dr. Karin Sein, LL.M. (Freiburg), University of Tartu, Estland, wurde die Herausgeberschaft erneut erweitert und deckt nun auch Osteuropa ab. In 2017 wurden insgesamt 29.030 (2016: 17.020) Zugriffe verzeichnet, davon entfielen 13.300 Seitenabrufe auf Europa. Unter den außereuropäischen Ländern verzeichnen die USA mit 13.457 Besuchern (2016: 7.712) die meisten Besucher. Ein Special Issue, herausgegeben von Ass.-Prof. Martin Husovec, befasste sich mit dem Thema „Intermediary Liability as a Human Rights Issue“. Die Beiträge des Journals sind bei HeinOnline im Volltext gelistet und abrufbar unter www.jipitec.eu. VI. Schlichtungsstelle IT 29 Neben der Betreuung der laufenden Verfahren befasste sich die Schlichtungsstelle IT mit den Potentialen der Blockchain-Technologie für die Streitschlichtung (vgl. hierzu. IV.4). Dahinter steht der Gedanke, die automatisierte Leistungsdurchführung bei Smart Contracts für Leis296
Jahreschronik 2017
tungsstörungen beizubehalten und die Streitschlichtung zu unterstützen, indem den Parteien und Schlichtern ermöglicht wird, ohne Medienbruch zu agieren. VII. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt Die gemeinsame Veranstaltungsreihe mit dem Verlag Dr. Otto Schmidt 30 wurde 2017 mit folgenden Veranstaltungen fortgesetzt: –
Den Auftakt bildeten am 30./31.3.2017 die Kölner Tage zum ITRecht. Unter der Tagungsleitung von Prof. Dr. Michael Bartsch und Prof. Dr. Jochen Schneider widmeten sich die Kölner Tage IT-Recht 2017 dem Oberthema „Neues Recht – Neue Technik – Neue Vertragspraxis“. Auf dem Programm standen der neue zivilrechtliche Mangelbegriff, Sollbeschaffenheit von Software, eine Debatte zum Reformbedarf des Zivilrechts, die indirekte Nutzung von Software, Online-Erschöpfung bei anderen Gütern als Software sowie Blockchain.
–
Am 19./20.6.2017 wurden unter der Tagungsleitung von Prof. Niko Härting und RA Dr. Flemming Moos die 2. Kölner Tage Datenschutzrecht abgehalten. Behandelt wurden neben drei Berichten aus der Praxis die Themen Kopplungsverbot, berechtigte Interessen, Rechenschaftspflicht, Auftragsdatenverarbeitung und -verträge, Meldepflichten bei Datenpannen, Datenportabilität und Betroffenenrechte, Beschäftigtendatenschutz und Betriebsvereinbarungen, Online-Marketing, die ePrivacy-Verordnung und Big-Data-Projekte nach der DSGVO.
–
Des Weiteren fand am 11.5.2017, Hamburg/19.10.2017, Köln, ein Seminar zur rechtssicheren Online-Shop-Gestaltung statt. Es referierte RA Dr. Carsten Föhlisch.
–
Am 12.5.2017, Hamburg/20.10.2017, Köln, folgte ein Seminar zur Datenschutzgrundverordnung und ihren Anforderungen an Konzerne. Es referierten Dr. Axel Frhr. v. d. Bussche, Paul Voigt und Dr. Anna Zeiter.
VIII. Preise und Auszeichnungen Den Wissenschaftspreis der Deutschen Stiftung für Recht und Informa- 31 tik (DSRI) erhielt Dr. Graziana Kastl für ihre Dissertation „Automatisierung im Internet“. Mit dem Absolventenpreis für eine herausragende Diplom- oder Magisterarbeit, Bachelor- oder Master-Thesis oder sonstige Abschlussarbeit wurde Radina Stoykova ausgezeichnet. Die Arbeit mit dem Titel „Data Portability. Analysis of the legal concept with regard 297
Veronika Fischer
to the European Data Protection Draft Regulation of December 2014“ setzt sich mit der in der EU-Datenschutzgrundverordnung enthaltenen Verpflichtung zur Datenportabilität auseinander. Weitere Einzelheiten sind den Beiträgen der Preisträgerinnen, abgedruckt in diesem Band, zu entnehmen. Die Preise sind mit 2.000 EUR (Wissenschaftspreis) bzw. 500 EUR (Absolventenpreis) dotiert. Die Preisgelder werden von der DGRI zur Verfügung gestellt. IX. Wissenswertes aus der DGRI 1. Mitgliederentwicklung 32 Per 31.12.2017 belief sich die Zahl der Mitglieder auf 775, davon 32 Firmen- und 743 Einzelmitgliedschaften. 2. Personalia 33 Die Vorstandsmitglieder Prof. Dr. Peter Bräutigam (stellvertretender Vorsitzender), Dr. Matthias Baumgärtel, RA Jörg Wimmers und Prof. Dr. iur. Dipl.-Biol. Herbert Zech (Beisitzer) wurden von der Mitgliederversammlung für eine weitere Amtsperiode wiedergewählt. Als Mitglieder des Beirats wurden Sonja Behrens-Khaled, Verlag Dr. Otto Schmidt, erstmals und Prof. Dr.-Ing. Dr. h. c. Stefan Jähnichen für eine weitere Amtsperiode durch den Vorstand bestellt. Durch die Mitgliederversammlung wiedergewählt wurden Prof. Dr. Joachim Bornkamm, Prof. Dr. Gerhard Satzger, Dr. Arnd Haller und Prof. Dr. Indra Spiecker gen. Döhmann. Kassenprüfer sind für ein weiteres Jahr Prof. Dr. Stefan Ernst und Jan Spoenle. 3. Geschäftsstelle 34 In der Geschäftsstelle wurden federführend die DGRI-Jahrestagung und das Drei-Länder-Treffen organisiert und die Stellungnahmen der Gesellschaft koordiniert. Die Geschäftsstelle ist Ansprechpartner für Mitglieder, Kooperationspartner und Sponsoren und kümmert sich um die Buchhaltung und den Jahresabschluss. In 2017 wurden daneben Informationsbroschüren über die Tätigkeit der DGRI und der Schlichtungsstelle IT erstellt und das neu entwickelte Gestaltungskonzept für den Außenauftritt der Gesellschaft umgesetzt. 298
Stellungnahme der DGRI zum Vorschlag der Europäischen Kommission für eine Richtlinie über den europäischen Kodex für die elektronische Kommunikation (COM[2016]590 final) Joachim Scherer/Dirk Heckmann/Caroline Heinickel/ Gerd Kiparski/Frederic Ufer* I. Standpunkt der DGRI II. 1. 2. 3.
Begründung der DGRI Struktur des Kodex-E Ziele der Reform Erweiterte Definition des Begriffs „elektronische Kommunikationsdienste“ 4. Förderung von „Festnetz- und Mobilfunk-Datenverbindungen mit sehr hoher Kapazität“ 5. Geographische Erhebungen als Instrument zur Verbesserung des Ausbaus von Breitbandnetzen
6. Vereinheitlichung von Maßnahmen der Frequenzverwaltung 7. Nummernregulatorische Förderung der Bereitstellung von Machine-to-Machine („M2M“)Diensten 8. Regulierung marktmächtiger Unternehmen 9. Vollharmonisierung der Regelungen zu den Endnutzerrechten
Im September 2016 hat die Europäische Kommission einen Vorschlag für die Reform des europäischen Rechts der elektronischen Kommunikation vorgelegt. Der Kommissionsvorschlag umfasst zwei Rechtsakte: Zum einen den „Europäischen Kodex für die elektronische Kommunikation“, zum anderen den Entwurf einer Verordnung, mit der das beratende Gremium Europäischer Regulierungsstellen für Elektronische Kommunikation (GEREK) in eine EU-Agentur umgewandelt werden soll. Bei dem Entwurf des Europäischen Kodex für elektronische Kommunikation („Kodex-E“) handelt es sich um eine Richtlinie, mit der vier der fünf derzeit bestehenden, zuletzt 2009 reformierten Richtlinien des EU-Telekommunikationsrechts zusammengefasst, übersichtlicher strukturiert und an die geänderten Marktbedingungen angepasst werden sollen. Der Fachausschuss Telekommunikations- und Medienrecht
* RA Prof. Dr. Joachim Scherer (Ko-Leiter FA TK- und Medienrecht), Prof. Dirk Heckmann (1. Vorsitzender der DGRI), RAin Dr. Caroline Heinickel, Gerd Kiparski und Dr. Frederic Ufer (Mitglieder des FA TK- und Medienrecht).
299
Anhang
hat sich auf seiner Sitzung am 17.11.2016 in Frankfurt/M. mit dem Entwurf befasst. Darauf aufbauend ist die nachfolgende Stellungnahme entstanden. I. Standpunkt der DGRI 1 Die Deutsche Gesellschaft für Recht und Informatik e. V. (DGRI) begrüßt die geplante Reform des EU-Rechtsrahmens für die elektronische Kommunikation und kommentiert ausgewählte, zentrale Punkte der vorgeschlagenen Neuregelung: –
–
–
–
–
–
Die Zielsetzung der Kommission, auch Anbieter von „Over-the-Top“ (OTT)-Diensten dem Anwendungsbereich des Rechts der elektronischen Kommunikation zu unterwerfen, soweit OTT-Dienste funktional äquivalent zu herkömmlichen Telekommunikationsdiensten sind, wird grundsätzlich befürwortet. Allerdings bedürfen die vorgeschlagenen Regelungen der Justierung. Das neugeschaffene Regulierungsziel der Förderung von „Festnetzund Mobilfunk-Datenverbindungen mit sehr hoher Kapazität“ wird begrüßt. Die im Kodex-E vorgesehenen „geografischen Erhebungen“ zur Feststellung der tatsächlichen Reichweite bestehender Breitbandnetze sind sinnvoll, soweit sie der Verbesserung der Planung und der Steuerung des Ausbaus von Breitbandnetzen dienen. Die vorgeschlagenen Regelungen sollten auf dieses Ziel ausgerichtet werden. Die Absicht der Kommission, die Maßnahmen der Frequenzverwaltung so zu vereinheitlichen, dass Frequenzbänder, deren Nutzung EU-weit harmonisiert wurde, einheitlichen Vergabe- und Genehmigungsbedingungen unterliegen, um so im Verbraucherinteresse eine europaweite Nutzung zu ermöglichen, ist zu begrüßen. Allerdings gehen die Regelungsvorschläge des Kodex-E über diese Zielsetzung weit hinaus. Zu begrüßen ist das Ziel der Kommission, die Bereitstellung von Machine-to-Machine (M2M)-Diensten zu fördern; die insoweit vorgeschlagenen Regelungen zur Nummernverwaltung, die die Erbringung transnationaler M2M-Dienste erleichtern sollen, bedürfen allerdings der Überarbeitung. Der Vorschlag der Kommission, marktmächtige Unternehmen umfassend zum Zugang zu ihren baulichen Einrichtungen zu verpflichten, wird von der DGRI unterstützt. Allerdings sollte sichergestellt werden, dass Verpflichtungen zum Zugang zu passiver Infrastruktur sowie zur Bereitstellung alternativer Vorleistungsprodukte, wie physischer und virtueller Zugang, gleichrangig behandelt werden.
300
Stellungnahmen
–
Die von der Kommission angestrebte Vollharmonisierung der Regelungen zum Verbraucherschutz bedarf aus Sicht der DGRI ebenfalls einiger Justierungen, um sicherzustellen, dass das in einzelnen Mitgliedstaaten, darunter Deutschland, erreichte Niveau des Verbraucherschutzes durch die Neuregelung nicht unterschritten wird.
II. Begründung der DGRI Im Einzelnen begründet die DGRI ihre Stellungnahme wie folgt:
2
1. Struktur des Kodex-E Es dient der Rechtsklarheit, dass der Kodex-E die bestehenden Richtli- 3 nien des EU-Telekommunikationsrechts in einem Rechtsakt konsolidiert und übersichtlicher strukturiert hat, wenngleich der Kodex-E an zahlreichen Stellen1 gesetzestechnisch weiter vereinfacht und verbessert werden könnte. 2. Ziele der Reform Zutreffend gewählt sind die im Erwägungsgrund („EG“) 3 nochmals 4 spezifizierten Zielsetzungen der Reform: (1) Schaffung von Anreizen für Investitionen in Hochgeschwindigkeitsbreitbandnetze, (2) Schaffung eines kohärenten Rechtsrahmens für die Frequenzpolitik und die Frequenzverwaltung, (3) Schaffung geeigneter Rahmenbedingungen für einen echten Binnenmarkt durch Beseitigung der Unterschiede zwischen den nationalen Einzelregelungen, gleiche Ausgangsbedingungen für alle Marktteilnehmer und einheitliche Anwendung der Bestimmungen des Rechtsrahmens sowie (4) Schaffung eines wirksameren institutionellen Rechtsrahmens. Die DGRI ist der Auffassung, dass der Kodex-E in weiten Teilen, jedoch nicht durchweg, brauchbare rechtliche Rahmenbedingungen zur Erreichung dieser Ziele setzt. 3. Erweiterte Definition des Begriffs „elektronische Kommunikationsdienste“ Die Zielsetzung der Kommission, auch Anbieter von „Over-the-Top“ 5 („OTT“)-Diensten dem Anwendungsbereich des Rechts der elektronischen Kommunikation zu unterwerfen, soweit sie funktional äquivalent zu herkömmlichen Telekommunikationsdiensten sind, ist zu begrüßen. 1 So u.a. im Hinblick auf die Definition des Elektronischen Kommunikationsdienstes, dazu bei 3).
301
Anhang
6 Die im Kodex-E vorgeschlagene Ausweitung der Legaldefinition des Rechtsbegriffs „elektronische Kommunikationsdienste“, der als Anknüpfungspunkt für zahlreiche regulierungsrechtliche Pflichten dient, ist jedoch nach Auffassung der DGRI für sich genommen nicht geeignet, dieses Regelungsziel zu erreichen: 7 Aus Sicht der DGRI ist es grundsätzlich sinnvoll, „in der Funktionsweise gleichwertige“ (s. EG 15 Kodex-E) Kommunikationsdienste im Wesentlichen vergleichbaren regulatorischen Anforderungen zu unterwerfen. Ebenfalls zu begrüßen ist, dass die Abgrenzung zwischen elektronischen Kommunikationsdiensten und nicht regulierten Diensten der Informationsgesellschaft künftig „nicht allein auf technischen Parametern fußen, sondern eher auf einem funktionalen Ansatz aufbauen“ soll (s. EG 15 Kodex-E). Diese Regelungsziele werden durch den Kodex-E jedoch nur in Teilen erreicht. 8 Ferner verfehlt die vorgesehene Anpassung der Definition des elektronischen Kommunikationsdienstes (Art. 2 Nr. 4 Kodex-E) aus Sicht der DGRI das erklärte Ziel der Neuregelung, „Unklarheiten [zu] beseitigen, die bei der Umsetzung der bisherigen Begriffsbestimmung festgestellt wurden, und eine abgestimmte, den einzelnen Vorschriften entsprechende Anwendung der in dem Rechtsrahmen enthaltenen spezifischen Rechte und Verpflichtungen auf die unterschiedlichen Arten von Diensten ermöglichen“ (s. EG 15 Kodex-E). 9 So umfasst die Begriffsbestimmung des elektronischen Kommunikationsdienstes nach wie vor Dienste, die „ganz oder teilweise“ in der Übertragung von Signalen bestehen. Zwar nennt der Kodex-E als ein Anwendungsbeispiel „Übertragungsdienste, die für die Maschine-zu-Maschine-Kommunikation sowie für Rundfunkdienste genutzt werden“. Die sich in der Vergangenheit stellende Frage, wann ein Dienst „ganz oder teilweise“ in der Signalübertragung besteht, welche von nationalen Regulierungsbehörden („NRB“) mit Blick auf komplexe Dienste oder Dienste, die mehrere Diensteelemente bündeln (z. B. Angebot von Telemetrie mit notwendiger Konnektivität), zum Teil sehr unterschiedlich bewertet worden ist, wird hierdurch jedoch nicht beantwortet. Ausreichende Abhilfe schafft hier auch nicht, dass der Begriff des elektronischen Kommunikationsdienstes nunmehr ausdrücklich „interpersonelle Kommunikationsdienste“ (Art. 2 Nr. 5 Kodex-E) umfasst, die weiter in nummerngebundene (Art. 2 Nr. 6 Kodex-E) und nummernunabhängige (Art. 2 Nr. 7 Kodex-E) interpersonelle Kommunikationsdienste unterteilt werden. 302
Stellungnahmen
Zunächst ist aus Sicht der DGRI die Abgrenzung zwischen nummernge- 10 bundenen Diensten und nummernunabhängigen Diensten, deren Bereitstellung nur in sehr eingeschränktem Umfang regulatorischen Verpflichtungen unterliegt, nicht sachgerecht. Denn dieses Abgrenzungskriterium ist – anders als in EG 15 vorgesehen – rein technischer Natur und lässt eine aus Sicht des Endnutzers möglicherweise bestehende funktionale Gleichwertigkeit entsprechender interpersoneller Kommunikationsdienste unberücksichtigt. Darüber hinaus eröffnet die Definition des interpersonellen Kommuni- 11 kationsdienstes ihrerseits (wie auch die geltende Definition des elektronischen Kommunikationsdienstes) nicht unerhebliche Wertungsspielräume, da sie Dienste vom Anwendungsbereich ausnimmt, die eine interpersonelle und interaktive Kommunikation „lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen“ (Art. 2 Nr. 6 Kodex-E, Hervorhebung nur hier). Es ist daher aus Sicht der DGRI nach wie vor nicht gesichert, dass ein Dienst in den Mitgliedstaaten mit Blick auf die Anwendbarkeit des Rechtsrahmens für die elektronische Kommunikation einheitlich bewertet werden wird. Um eine einheitlichere Regulierungspraxis zu fördern, sollten die Definitionen entweder klarer gefasst oder es sollte erwogen werden, auf das bewährte Instrument der Leitlinien des GEREK zurückzugreifen, um die in den Definitionen vorgesehenen Wertungen auf eine einheitliche Entscheidungsgrundlage zu stützen. 4. Förderung von „Festnetz- und Mobilfunk-Datenverbindungen mit sehr hoher Kapazität“ Die Straffung der Regulierungsziele und ihre Ergänzung um das Regulie- 12 rungsziel der Förderung von „Festnetz- und Mobilfunk-Datenverbindungen mit sehr hoher Kapazität“ (Art. 3 Abs. 2 lit. a und d Kodex-E) sind zu begrüßen. Um Befürchtungen entgegen zu wirken, das Regulierungsziel der Förderung von Netzen mit sehr hoher Kapazität genieße Vorrang vor den anderen Regulierungszielen, und um das Regulierungsermessen der NRB nicht unnötig einzuschränken, sollte in den Erwägungsgründen klargestellt werden, dass die Regulierungsziele gleichrangig sind und von den NRB im Einzelfall unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit abzuwägen sind.
303
Anhang
5. Geographische Erhebungen als Instrument zur Verbesserung des Ausbaus von Breitbandnetzen 13 Die DGRI begrüßt die Absicht der Kommission, durch die im Kodex-E vorgesehenen „geografischen Erhebungen“ die in zahlreichen Mitgliedstaaten bestehenden Infrastruktur-Register zu vereinheitlichen und damit ein Instrument zur Verbesserung von Planung und Steuerung des Ausbaus von Breitbandnetzen zu schaffen. 14 Unklar ist jedoch, ob und inwieweit die Erhebungen von den NRB bei der Marktdefinition, der Marktanalyse und bei der Auferlegung von Verpflichtungen im Rahmen der Regulierung von marktmächtigen Unternehmen berücksichtigt werden sollen: Art. 62 Abs. 3 Satz 2 Kodex-E scheint zu verlangen, dass nicht nur die Ergebnisse der geografischen Erhebungen zur aktuellen, tatsächlichen Reichweite bestehender Breitbandnetze bei der Regulierung zu berücksichtigen sind, sondern auch die Ergebnisse der von den Unternehmen vorzunehmenden „dreijährigen Vorausschau der Reichweite der Breitbandnetze“ (Art. 22 Abs. 1 Satz 2 Kodex-E). Die Berücksichtigung bloßer Ausbauabsichten und -pläne bei der Entscheidung über Maßnahmen der Marktregulierung birgt die – u. a. auch von GEREK gesehene – Gefahr, „dass Ausbaupläne taktisch angekündigt werden, um Regulierung herbeizuführen, zu vermeiden oder hinauszuzögern“ (BEREC, BoR [16] 213, S. 10). Die DGRI regt daher an, in Art. 62 Abs. 3 Satz 2 Kodex-E klarzustellen, dass bei Regulierungsentscheidungen lediglich die gegenwärtig bestehende (tatsächliche) geografische Reichweite von Breitbandnetzen zu berücksichtigen ist. Bloße Ausbauabsichten und -pläne sind keine solide Grundlage für Regulierungsentscheidungen. 15 Ebenfalls überarbeitungsbedürftig ist Art. 20 Abs. 1 Satz 4 i. V. m. Art. 29 Kodex-E, wonach Unternehmen, die „absichtlich“ irreführende, fehlerhafte oder unvollständige Auskünfte über ihre Netzausbaupläne geben, sanktioniert werden sollen. Abgesehen von der praktischen Schwierigkeit, eine solche „Absicht“ nachzuweisen, können sich Ausbaupläne in Abhängigkeit von der Nachfrage kurzfristig ändern. 16 Insgesamt erscheint es zweifelhaft, ob der von Unternehmen und NRB verlangte Verfahrensaufwand für die Erstellung von 3-Jahres-Plänen zum Netzausbau in einem vernünftigen Verhältnis zu dem Erkenntnisgewinn stehen, den Marktteilnehmer und die NRB aus solchen Planungen ziehen können. Für die beabsichtigte Beschleunigung des Netzausbaus in unterversorgten Regionen dürfte es ausreichen, wenn die nach einheitlichen Kriterien zu erstellenden geografischen Erhebungen ein detailliertes Bild über den 304
Stellungnahmen
tatsächlichen Stand des Netzausbaus vermitteln und „Gebiete mit Netzausbaudefizit“ präzise bezeichnen. 6. Vereinheitlichung von Maßnahmen der Frequenzverwaltung Die DGRI begrüßt die Absicht der Kommission, die Maßnahmen der 17 Frequenzverwaltung so zu vereinheitlichen, dass Frequenzbänder, deren Nutzung EU-weit (oder europaweit) harmonisiert wurde, einheitlichen Vergabe- und Genehmigungsbedingungen unterliegen, um so im Interesse der Verbraucher und der Anbieter von Geräten und Diensten eine europaweite Nutzung zu ermöglichen. Die vorgeschlagenen Bestimmungen des Kodex-E gehen jedoch über die- 18 se Zielsetzung weit hinaus: So soll das in Art. 35 Kodex-E vorgesehene Peer Review-Verfahren nicht nur dann durchgeführt werden, wenn NRB Maßnahmen zur Regelung harmonisierter Frequenzbereiche vorzunehmen beabsichtigen, sondern ganz grundsätzlich bei sämtlichen Maßnahmen der Frequenzverwaltung nach Art. 35 Abs. 1 Kodex-E. Im Interesse einer raschen Erschließung und europaweiten Nutzung 19 von harmonisierten Funkfrequenzen erscheint es sinnvoll, der Kommission Befugnisse zur zeitlichen Koordinierung von Vergabeverfahren in den Mitgliedstaaten einzuräumen (Art. 53 Kodex-E). Dies darf allerdings nicht dazu führen, dass das „Geleitzugprinzip“ gilt, wonach der langsamste Mitgliedstaat die Geschwindigkeit für alle anderen bestimmt: Vielmehr sollte der Kodex-E Mitgliedstaaten, die bei der Erschließung und Nutzung von Frequenzen eine Vorreiterrolle übernehmen wollen, nicht daran hindern, neue Frequenznutzungsmöglichkeiten rascher zu eröffnen als andere. 7. Nummernregulatorische Förderung der Bereitstellung von Machine-to-Machine („M2M“)-Diensten Ausdrücklich begrüßt die DGRI das Ziel der Kommission, die Bereit- 20 stellung von Machine-to-Machine („M2M“)-Diensten auch durch eine Anpassung der Regelungen zur Nummernverwaltung zu fördern. M2MDienste verbinden Produkte der klassischen Industrie mit denen der Kommunikationsbranche und schaffen hierdurch einen Mehrwert für Endnutzer und für industrielle Anwender. Zwei Aspekte sind bei der M2M-Kommunikation wesentlich, die eine besondere Herausforderung für den bisherigen Rechtsrahmen darstellen. Dieses ist zum einen der grenzüberschreitende Einsatz von M2M-Anwendungen und zum anderen der fehlende interpersonelle Charakter der Kommunikation. Trotz der positiven und zu begrüßenden Ansätze im Entwurfstext der Kommis305
Anhang
sion werden die vorgesehenen Änderungen den spezifischen Anforderungen von M2M-Diensten nicht ausreichend gerecht. 21 M2M-Dienste sind oftmals dadurch gekennzeichnet, dass sie auf eine länderübergreifende bzw. globale Nutzung ausgerichtet sind. Damit entsprechende Geschäftsmodelle wirtschaftlich tragfähig sind, müssen Hersteller von M2M-Endgeräten in der Lage sein, die Endgeräte bei Produktion mit SIM-Karten ausstatten und sie nachfolgend weltweit verkaufen zu können. Bei Herstellung der M2M-Endgeräte ist zudem oft nicht absehbar, in welchem Land diese Geräte eingesetzt werden. Auch können Hersteller dieser Geräte nicht nachvollziehen, in welche Länder ihre Produkte nach Verkauf durch Endkunden verbracht werden. Ferner sind M2M-Geschäftsmodelle häufig durch mehrgliedrige „Supply Chains“ charakterisiert. Demzufolge ist der Hersteller der Geräte nicht zwingend derjenige, der letztendlich gegenüber dem Endkunden den M2M-Dienst mit Hilfe des M2M-Endgeräts erbringt. Auch dies kann dazu führen, dass das M2M-Endgerät in einem anderen Land dauerhaft genutzt wird, als dies bei der Herstellung vorgesehen war. Um diesen spezifischen Charakteristika von M2M-Diensten angemessen Rechnung zu tragen, ist es unerlässlich, die Möglichkeit einer exterritorialen Nutzung von nationalen Nummern (d. h. eine Nutzung von nationalen Nummern außerhalb des Zuteilungslands auf dauerhafter Basis) europaweit einheitlich vorzusehen. 22 Zu begrüßen ist daher grundsätzlich, dass Art. 87 Abs. 4 Kodex-E die Zulässigkeit der exterritorialen Nutzung von Rufnummern für elektronische Kommunikationsdienste, die keine Dienste der interpersonellen Kommunikation darstellen, verbindlich festschreibt. Allerdings wird durch die vorgesehene Formulierung „zur Bereitstellung anderer elektronischer Kommunikationsdienste als interpersoneller Kommunikationsdienste“ der Anwendungsbereich der Regelungen zur exterritorialen Nutzung zu sehr beschränkt. Denn nicht alle M2M-Dienste sind als elektronische Kommunikationsdienste (d. h. Dienste, die ganz oder überwiegend in der Übermittlung von Signalen bestehen) anzusehen. Dennoch ist auch für diese M2M-Dienste, wie oben gezeigt, die Möglichkeit einer exterritorialen Nutzung von Nummern essentiell. Eine Erstreckung der Regelungen zur exterritorialen Nutzung von Nummern auf Dienste, die keine elektronischen Kommunikationsdienste sind, ist nach Maßgabe von Art. 87 Abs. 4 Satz 2 Kodex-E jedoch nur für Unternehmen vorgesehen, denen Nummernressourcen direkt zugeteilt worden sind (Art. 87 Abs. 2 Kodex-E). 23 Überarbeitungsbedürftig sind zudem die vorgesehenen Regelungen zur Rechtsdurchsetzung und zur Einhaltung verbraucherschutzrechtlicher 306
Stellungnahmen
Regelungen (Art. 87 Abs. 4 Satz 4, 88 Abs. 6 Kodex-E). Art. 88 Abs. 6 Kodex-E sieht vor, dass die NRB, die Nummern zur exterritorialen Nutzung zuteilt, diese Zuteilung mit der Auflage zu versehen hat, dass die Verbraucherschutzregelungen sowie die einschlägigen nationalen Nummerierungsvorgaben des Verbringungslandes einzuhalten sind. Dies ist zumindest dann problematisch, wenn unklar ist, in welchem Land die Nummern zum Einsatz kommen sollen. Insoweit könnten allenfalls abstrakte Vorgaben getroffen werden, deren Einhaltung das die Nummern nutzende Unternehmen insbesondere in multi-jurisdiktionalen Dienstekonstellationen vor erhebliche Herausforderungen stellen wird. Dies gilt insbesondere wenn man bedenkt, dass die allgemeinen Verbraucherschutzvorschriften und die Regelungen zur Nummernnutzung auch zwischen den Mitgliedstaaten in erheblichem Umfang differieren und dass bislang nicht ausreichend deutlich wird, welche Verbraucherschutzvorschriften auf die Erbringung von M2M-Diensten überhaupt sinnvoll Anwendung finden können. Daher sollte auch die Vorgabe überdacht werden, dass Anbieter, die Nummern mit dem Ländercode ihres Mitgliedstaates nutzen, dem Verbraucherschutz und anderen nationalen Vorschriften bezüglich der Nutzung von Nummern entsprechen, die in dem Mitgliedstaat gelten, in dem die Nummern genutzt werden (Art. 87 Abs. 4 Satz 4 Kodex-E). Aus Sicht der DGRI ist schließlich die Einrichtung eines vom GEREK 24 geführten Zentralregisters exterritorial genutzter Nummern abzulehnen bzw. jedenfalls auf exterritorial genutzte Rufnummern zu beschränken. Zum einen unterfällt die Nummernverwaltung der Hoheit der Mitgliedstaaten. Dieser Grundsatz würde durch die Einrichtung eines zentralen Nummernregisters auf EU-Ebene durchbrochen, ohne dass hierfür ein sachlicher Grund besteht. Denn die eigentliche Nummernverwaltung und die Durchsetzung der mit der Nummernnutzung verbundenen Regeln sowie der einschlägigen verbraucherschutzrechtlichen Vorgaben soll auch nach dem Kodex-E weiterhin auf nationaler Ebene erfolgen. Da anhand der Länderkennung ohne weiteres erkennbar ist, welcher Mitgliedstaat die exterritorial genutzten Nummern zugeteilt hat, ist eine Abstimmung zwischen den NRB, wo erforderlich, ohne weiteres möglich, ohne dass es eines zentralen Registers bedarf. Zumindest im Hinblick auf exterritorial genutzte E.212 Nummern (d. h. IMSI) lässt sich die Einführung eines Zentralregisters auch nicht auf Sicherheitserwägungen stützen. Denn wie die deutsche Regulierungsbehörde, die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, zutreffend festgestellt hat, lässt sich der Zuteilungsnehmer von ausländischen IMSI-Blöcken durch die Sicherheitsbehörden leicht ermitteln und durch eine Anfrage an den entsprechenden Nummerninhaber lassen 307
Anhang
sich die abgeleiteten Zuteilungsnehmer einer IMSI feststellen. Zumindest mit Blick auf E.212 Nummern ist daher eine weitergehende Erfassung dieser Nummern in einer zentralen Datenbank auf EU-Ebene auch unter Gesichtspunkten der öffentlichen Sicherheit nicht erforderlich. 8. Regulierung marktmächtiger Unternehmen 25 Der Vorschlag der Kommission, marktmächtige Unternehmen umfassend zum Zugang zu ihren baulichen Einrichtungen zu verpflichten (Art. 70 Kodex-E), wird als Fortführung eines in der Vergangenheit erfolgreich etablierten Konzepts zur Regulierung marktmächtiger Unternehmen („Significant Market Power“, SMP-Konzept) in der Telekommunikationsregulierung von der DGRI unterstützt. In diesem Zusammenhang möchten wir unterstreichen, dass Zugangsverpflichtungen auch weiterhin auf SMP-Unternehmen zu beschränken sind, weil anderenfalls negative Impulse in Richtung alternativer Investoren gesetzt werden. Darüber hinaus sollten auch die technischen und kommerziellen Zugangsbedingungen einer effektiven Regulierung unterliegen. Anderenfalls könnten z. B. zu hohe Zugangskosten den Zugangsanspruch ebenfalls ins Leere laufen lassen. 26 Um den Infrastrukturwettbewerb zu stärken, sieht die Kommission vor, die allgemeinen Zugangsverpflichtungen nur noch dann in Erwägung zu ziehen, wenn Verpflichtungen in Bezug auf bauliche Anlagen allein nicht ausreichen (Art. 71 Kodex-E). Diese Neugestaltung der Zugangsregulierung sieht die DGRI skeptisch. Es besteht das Risiko, dass diese Maßnahme die Rechtfertigungslast der NRB für den Erlass darüber hinausgehender Zugangsverpflichtungen zumindest formell erhöht. Folglich würde der Handlungsspielraum der nationalen Regulierer zur Förderung des Breitbandausbaus im Ergebnis geschwächt. Darüber hinaus lässt der Kodex-E dem Zugang zu passiver Infrastruktur durch diesen Regelungsvorschlag besondere Bedeutung zukommen. Erfahrungen in verschiedenen Mitgliedstaaten, wie z. B. Spanien oder Portugal, haben zwar gezeigt, dass mit einem solchen Zugangsanspruch der wettbewerbliche Ausbau von Gigabit-Infrastrukturen erheblich forciert werden kann. Die DGRI weist jedoch darauf hin, dass die auf Grund unterschiedlicher Marktsituationen in den Mitgliedstaaten ggf. bestehenden alternativen Vorleistungsprodukte, wie der physische und virtuelle Zugang, nicht ins Hintertreffen geraten dürfen und spricht sich daher für eine Gleichrangigkeit der Vorleistungsprodukte aus. Anderenfalls wird aus Sicht der DGRI die Möglichkeit der NRB beschränkt, auf die Besonderheiten der jeweiligen nationalen Märkte zugeschnittene Abhilfemaßnahmen aufzuerlegen. Zugangsansprüche jeglicher Art dürfen zudem nicht von dem Zustande308
Stellungnahmen
kommen von im Kodex-E lediglich vage definierten Ko-Investitionsvereinbarungen abhängen. Zu begrüßen ist aus Sicht der DGRI, dass der Kodex-E die Möglichkeit 27 beibehält, Unternehmen mit beträchtlicher Marktmacht Verpflichtungen zur Preiskontrolle aufzuerlegen (Art. 72 Kodex-E). Allerdings wird das Regulierungsermessen der NRB durch den Kodex-E in nicht unerheblichem Umfang eingeschränkt: So müssen die NRB nach Maßgabe des Entwurfs das Interesse der Endnutzer am „Aufbau und der Nutzung von Netzen der nächsten Generation, insbesondere Netzen mit sehr hoher Kapazität berücksichtigen“ und dürfen Preiskontrollpflichten dann nicht auferlegen, wenn „ein nachweisbarer Preisdruck bei den Endkundenpreisen herrscht“ und die Zugangsverpflichtungen einen effektiven und diskriminierungsfreien Zugang sichern. Zwar stellt eine ex-anteRegulierung wesentlich höhere Anforderungen an das zu regulierende Unternehmen als dies bei einer nachträglichen Regulierung der Fall wäre. Insbesondere sind zur Genehmigung der Entgelte umfangreiche Kostenunterlagen einzureichen, um entgeltbeeinflussende Faktoren regelmäßig zu überprüfen. Allerdings haben sich die bisherigen Mechanismen des Rechtsrahmens bewährt und den NRB ausreichend Flexibilität eingeräumt, um bei einer Änderung der Marktverhältnisse von einer exante-Entgeltregulierung zur schwächeren ex-post-Betrachtung zu wechseln. Daher sieht die DGRI die vorgesehenen Änderungen kritisch. Die Aufnahme von Ko-Investitionsmodellen (Art. 74 Kodex-E) ist grund- 28 sätzlich zu begrüßen, darf aber nicht zu „Regulierungsferien“ für marktmächtige Unternehmen und zur Verdrängung alternativer Anbieter führen. Die gemeinsame Nutzung von neuen Netzbestandteilen durch einen marktmächtigen Netzeigentümer und Zugangsinteressenten kann im Vergleich zu herkömmlichen Zugangsprodukten mit einer größeren Risikoteilung verbunden und auch eine dauerhafte Grundlage für Wettbewerb sein, dies muss aber nicht der Fall sein. Die DGRI weist darauf hin, dass die wettbewerblichen Auswirkungen einer solchen gemeinsamen Nutzung sehr stark von den Marktverhältnissen in den Mitgliedstaaten und der jeweiligen Ausgestaltung der Ko-Investition abhängig sind. Die EU-weite Festschreibung eines Regulierungsverzichts ist daher nicht zielführend, zumal es an konkreten Kriterien fehlt, nach denen ein echtes Ko-Investitionsmodell definiert wird. Jedenfalls kann die Veröffentlichung eines Angebotes zur Ko-Investition allein, anders als im Kodex-E vorgesehen, nicht ausreichen, einen Regulierungsverzicht zu rechtfertigen. Vielmehr bedarf es insoweit zumindest einer schriftlich getroffenen Vereinbarung ko-investierender Unternehmen. Es besteht zudem die Gefahr, dass die privilegierte Behandlung von neuen Netzele-
309
Anhang
menten zu einer weitgehenden Stärkung der Marktposition marktmächtiger Unternehmen führt, da diese mit der Ankündigung inkrementeller Aufrüstungen ihrer Netze sowohl die lang- bis mittelfristigen Investitions- wie auch Produktvertriebsstrategien dauernd stören und damit auch die Arbeit der Regulierungsbehörde faktisch blockieren könnten. Die DGRI schlägt daher vor, dass entsprechende Ko-Investitionsvereinbarungen lediglich als ein zusätzlicher Aspekt bei der Ausübung des Regulierungsermessens zu berücksichtigen sind. 9. Vollharmonisierung der Regelungen zu den Endnutzerrechten 29 Bisher geben die in den Richtlinien niedergelegten Regelungen zu den Endnutzerrechten ein Mindestniveau vor, das die EU-Mitgliedstaaten bei ihrer nationalen Umsetzung zu gewährleisten haben. Die Mitgliedstaaten können zugunsten der Endnutzer jedoch über dieses Mindestniveau hinausgehen. Das hat der deutsche Gesetzgeber insbesondere mit der TK-Transparenzverordnung und mit den Regelungen zum Anbieterwechsel und zum Eskalationsprozess beim Anbieterwechsel getan. 30 Der Kodex-E enthält eine grundlegende Überarbeitung des Titels über die Endnutzerrechte. Die wesentlichste Änderung gegenüber der bisherigen Rechtslage ist die in Art. 94 Kodex-E festgelegte Vollharmonisierung der Regelungen zu den Endnutzerrechten. 31 Die vorgesehene Vollharmonisierung der Vorschriften zum Verbraucherschutz ist grundsätzlich zu begrüßen, da sie einen einheitlichen europaweiten Standard schafft und es den Unternehmen erleichtert, ihre Dienste EU-weit anzubieten. Allerdings muss aus Sicht der DGRI sichergestellt sein, dass das in einzelnen Mitgliedstaaten, darunter Deutschland, erreichte Niveau des Verbraucher- bzw. Endnutzerschutzes durch die Neuregelung nicht unterschritten wird. 32 Ein zureichender Grund für die Einschränkung des Anwendungsbereichs der Regelungen zu Informationspflichten bei Verträgen in Art. 97, zu Transparenz, Angebotsvergleich und Veröffentlichung von Informationen in Art. 96, zu Dienstequalität in Art. 97, zu Vertragslaufzeit und -kündigung in Art. 98 und zu Angebotspaketen in Art. 100 Kodex-E auf andere Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste als Anbieter nummerngebundener interpersoneller Kommunikationsdienste ist nicht ersichtlich. Wenn ein OTT-Anbieter einen Dienst erbringt, der funktional äquivalent ist zu einem Dienst der nummernunabhängigen interpersonellen Kommunikation, dann ist das Schutzbedürfnis der Endnutzer vergleichbar; dementsprechend sollten dieselben Endnutzerschutzverpflichtungen gelten. 310
Stellungnahmen
Nach Art. 95 Abs. 5 Kodex-E soll GEREK 12 Monate nach Inkrafttre- 33 ten des Kodex ein Muster für Vertragszusammenfassungen vorlegen, in dem die Hauptelemente der Informationsanforderungen des Art. 95 Abs. 1 und 2 Kodex-E enthalten sein sollen. Dieses vom Anbieter auszufüllende Formular soll vor Vertragsschluss den Endkunden vorgelegt und dann Vertragsbestandteil werden. Unklar ist freilich die rechtliche Relevanz dieser „Vertragszusammenfassung“. Da in der Vertragszusammenfassung lediglich „die Hauptelemente“ der von einem Anbieter bereitzustellenden Informationen enthalten sein sollen (vgl. Art. 95 Abs. 5 Satz 1 Kodex-E), bleibt es bei der Verpflichtung der Anbieter, die nicht in der Vertragszusammenfassung enthaltenen Informationen anderweitig bereitzustellen oder bereitzuhalten. Wünschenswert wäre hier eine Klarstellung zum Umfang der Informationspflichten. Allzu unbestimmt und weitreichend ist die Verpflichtung von Anbie- 34 tern von Internetzugangsdiensten und Anbietern öffentlich zugänglicher nummerngebundener interpersoneller Kommunikationsdienste, Informationen von öffentlichem Interesse, die sie „von den zuständigen öffentlichen Behörden in einem standardisierten Format geliefert“ bekommen, an bestehende und neue Endnutzer weiterzugeben. Zwar enthält Art. 96 Abs. 3 Satz 2 in lit. a und b Kodex-E zwei Anwendungsbeispiele für derartige „Informationen von öffentlichem Interesse“, nämlich Informationen über „die häufigsten Formen einer Nutzung von Internetzugangsdiensten und nummerngebundenen interpersonellen Kommunikationsdiensten für unrechtmäßige Handlungen oder die Verbreitung schädlicher Inhalte“ (lit. a) sowie Informationen über „Mittel des Schutzes vor einer Gefährdung der persönlichen Sicherheit, der Privatsphäre und personenbezogener Daten“ (lit. b). Dieser Katalog ist jedoch nicht abschließend (vgl. Art. 96 Abs. 3 Satz 2 Kodex-E: „u. a.“), wodurch die Verpflichtung von Anbietern zur Verbreitung von Informationen „von öffentlichem Interesse“ nach Inhalt und Ausmaß unbestimmt ist. In Art. 98 Abs. 2 schließt der Kodex-E faktisch die Möglichkeit aus, Ver- 35 braucherverträge nach Ablauf der Mindestlaufzeit um eine bestimmte Laufzeit automatisch zu verlängern. Nach dem Kodex-E können Verbraucher nach Ablauf der anfänglichen Vertragslaufzeit ihren Vertrag jederzeit mit einer Frist von einem Monat kündigen. Dies erscheint aus Sicht der DGRI nicht gerechtfertigt. Ermöglichen nationale Regelungen eine automatische Vertragsverlängerung um eine feste Zeitspanne für alle Dauerschuldverhältnisse, sollte dies auch für öffentlich zugängliche elektronische Kommunikationsdienste gelten, da es für die Schlechterstellung von Anbietern elektronischer Kommunikationsdienste gegenüber Anbietern anderer Dienstleistungen keine ausreichende Rechtfertigung gibt. 311
Anhang
36 Klarstellungsbedürftig ist auch Art. 99 Abs. 5 Kodex-E: Dieser schreibt vor, dass die Rufnummer des Endnutzers in jedem Fall innerhalb eines Arbeitstages nach „Schließung einer Vereinbarung“ zu übertragen ist. Die Rufnummer ist aber z. B. in Deutschland im Festnetzbereich an die Vertragslaufzeit des Anschlussvertrages gebunden und wird erst mit dessen Beendigung freigegeben, während Mobilfunknummern jederzeit portiert werden können. Die Portierungsverfahren sind derzeit nicht so ausgelegt, dass die technische Durchführung der Portierung innerhalb eines Tages nach Unterzeichnung eines Portierungsauftrages erfolgen kann. Dieses ist vom Endnutzer auch nicht gewünscht, da die Anschlussschaltung durch den neuen Anbieter nicht in dieser kurzen Frist erfolgen wird. Der Endkunde wäre bei einer vorzeitigen Portierung ohne Anschlussbereitstellung unter seiner alten Rufnummer nicht erreichbar. Wichtig ist, dass Portierung und Anschlussschaltung synchron verlaufen und der Endnutzer unter seiner gewohnten Rufnummer erreichbar bleibt. Dies legt auch Art. 99 Abs. 1 Kodex-E fest, wonach der aufnehmende Anbieter sicherstellt, dass die Aktivierung des Dienstes am mit dem Endnutzer vereinbarten Datum erfolgt. Hiernach soll der Anbieterwechsel und damit die Rufnummernportierung eben nicht schnellstmöglich am nächsten Arbeitstag nach Unterzeichnung der Vereinbarung, sondern an einem mit dem Endnutzer abzustimmenden Datum erfolgen.
312
Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) Dirk Heckmann/Jörg Wimmers* I. Vorbemerkung zum Referentenentwurf II. Rechtliche Einwände gegen den Gesetzesentwurf 1. Fehlende Gesetzgebungskompetenz des Bundes 2. Verstoß gegen Art. 14, 15 ECRL 3. Verfassungsrechtliche Aspekte a) Übertragung der „Rechtsdurchsetzung“ auf Private; fehlerhafte Anreize
b) Einschnürende Effekte für die Kommunikationsgrundrechte c) Zur neuen datenschutzrechtlichen Ermächtigung einer Auskunftserteilung über Dritte d) Zur Speicherungspflicht zu Beweiszwecken auf inländischen Servern 4. Zur Frage der internationalen Anwendbarkeit des deutschen Strafrechts
Das Bundesministerium der Justiz und für Verbraucherschutz hat am 14.3.2017 den Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG-E) vorgelegt. Eine gegenüber dem ursprünglichen Entwurf abgeänderte Fassung wurde am 27.3.2017 der Europäischen Kommission zur Notifizierung gemäß der Richtlinie (EU) 2015/1535 übersandt. Am 5.4.2017 folgte ein Gesetzentwurf der Bundesregierung zum NetzDG (RegE), der nur geringfügigste weitere Änderungen im Gesetzestext, dafür aber umfangreichere bei der Begründung vorsieht. Hier ist besonders auf die Begründung zu § 4 Abs. 1 Nr. 2 hinzuweisen, der klarstellt, dass zwar die Pflicht zur Entfernung rechtswidriger Inhalte unter die Bußgeldbewehrung fällt, dessen Tatbestand aber in der Regel nicht bereits durch einen einmaligen Verstoß erfüllt wird. Die Deutsche Gesellschaft für Recht und Informatik e. V. (DGRI) hat im Rahmen der Verbändeanhörung zu dem Referentenentwurf des BMJV Stellung genommen und davor gewarnt, ein Gesetzgebungsvorhaben in einem grundrechtssensiblen und rechtlich wie technisch so komplexen Bereich unter den Zeitdruck eines imminenten Ereignisses zu stellen. Dabei berücksichtigt die Stellungnahme der DGRI bereits den geänderten Entwurf, wie er dem Notifizierungsverfahren zugrunde * Prof. Dr. Dirk Heckmann, 1. Vorsitzender der DGRI und RA Jörg Wimmers, LL.M. (NY), Mitglied des Vorstands der DGRI.
313
Anhang
gelegt wurde, nicht aber die weiteren, allerdings nur wenigen Änderungen durch den RegE. In ihrer Stellungnahme weist die DGRI auf europarechtliche, verfassungsrechtliche und völkerrechtliche Einwände hin, die im Einzelnen wie folgt begründet werden: I. Vorbemerkung zum Referentenentwurf 1 Die DGRI erlaubt sich den Hinweis, dass die Erstellung des vorliegenden Entwurfes von großer Eile geprägt und dem folgend die Frist zur Stellungnahme für die beteiligten Verbände äußerst knapp bemessen ist. Eine substantielle Stellungnahme zu den durch den Referentenentwurf aufgeworfenen komplexen Fragen im Umfeld der Providerverantwortlichkeit und mehr noch der betroffenen Meinungs- und Informationsfreiheit ist innerhalb dieser kurzen Frist nicht zu leisten. 2 Wir vermuten, dass die stark zunehmende öffentliche Diskussion um den Begriff der „Fake-News“, die offenbar erfolgten Einflussnahmen auf Wahlen sowie die auf den 24.9.2017 festgelegte Bundestagswahl den Hintergrund für diese Eile bilden. Dazu kommt die erforderliche Notifizierung nach Art. 5 Abs. 1 der Richtlinie 2015/1535 mit ihrer dreimonatigen Stillhaltefrist. Die Notifizierung erfolgte offenbar am 27.3.2017, die Stillhaltefrist endet am 28.6.2017. Dies führt nach Ansicht unserer Organisation zu einem Zeitplan, der für ein ordnungsgemäßes Gesetzgebungsverfahren in einem grundrechtssensiblen Bereich wie vorliegend nicht einzuhalten ist. Die DGRI warnt davor, ein Gesetzesvorhaben in diesem ebenso wichtigen wie schwierigen Umfeld unter den Zeitdruck eines imminenten Ereignisses zu stellen. Zudem hat sich in der Vergangenheit wiederholt gezeigt, dass besonders im Umfeld von Diensten der Informationsgesellschaft mit ihren schnellen Innovationszyklen gesetzliche Regelungen, die in Eile gefasst wurden, oft ihren eigentlichen Gegenstand verfehlen und Ursache für erhebliche Kollateralschäden sind. 3 Dem Referentenentwurf (RefE) sieht man die Eile, mit der er erstellt wurde, an. Das belegen auch die kurzfristigen Änderungen unmittelbar vor der Notifizierung, die – soweit möglich – in dieser Stellungnahme berücksichtigt sind. Dem vorliegenden Entwurf eines NetzDG stehen auch in der geänderten Fassung schwerwiegende europarechtliche, verfassungsrechtliche und völkerrechtliche Einwände entgegen. 4 Auch die DGRI ist der Auffassung, dass Hasskriminalität wirksam bekämpft werden muss und dass auch strafbare Falschmeldungen nicht hingenommen werden können. Leitend für die Erwägungen bei einem Gesetzesvorhaben wie dem vorliegenden sollten dabei aber nicht die
314
Stellungnahmen
krassen Fälle z. B. offensichtlich rassistischer Schmähungen sein (die Anbieter sozialer Netzwerke schon nach der geltenden Rechtslage in Erfüllung ihrer Pflichten nach § 10 TMG entfernen werden), denn die ganz überwiegenden Fälle der Anwendung des NetzDG werden die nicht eindeutigen Fälle unterhalb solcher krassen Schmähungen darstellen. „Fake News“ werden zudem häufig im Gewand der Nachricht, d. h. der Tatsachenbehauptung auftreten, deren Wahrheit bzw. Unwahrheit für den Anbieter sozialer Netzwerke nicht ohne weiteres feststellbar ist. Die DGRI begrüßt den Weg des BMJV, gemeinsam mit den Anbietern sozialer Netzwerke Lösungen für die schwierigen Probleme der Hasskriminalität und der Falschnachrichten zu suchen. Einer unter erheblichem zeitlichem Druck stehenden gesetzlichen Regelung in diesem sowohl technisch wie rechtlich komplexen Umfeld sollte der Gesetzgeber, zumal mit einem nationalen Alleingang, widerstehen; die Meinungs- und Informationsfreiheit würde leiden. II. Rechtliche Einwände gegen den Gesetzesentwurf 1. Fehlende Gesetzgebungskompetenz des Bundes Es fehlt für den Entwurf eines NetzDG an der Gesetzgebungskompetenz 5 des Bundes. Unzutreffend stützt man sich auf eine Gesetzgebungskompetenz im Hinblick auf das Recht der Wirtschaft (Art. 74 Abs. 1 Nr. 11 GG). Bei den Regelungen stehen keine wirtschaftlichen Interessen im Vordergrund (es geht auch nicht um geistiges Eigentum; dann wäre ggf. Art. 73 Abs. 1 Nr. 9 GG einschlägig). Vielmehr geht es dem Entwurf um die Eindämmung von Hasskriminalität und strafbaren Falschnachrichten in sozialen Netzwerken, da diese „eine große Gefahr für das friedliche Zusammenleben einer freien, offenen und demokratischen Gesellschaft“ berge1. Die im RefE enthaltenen Normen enthalten keinen wirtschaftsfördernden Zweck, sondern betreffen die Kommunikation in sozialen Netzwerken und regeln damit die Ausübung der Meinungs- und Informationsfreiheitsrechte aus Art. 5 GG, bzw. sind als Ausfluss der öffentlichen Sicherheit und Ordnung anzusehen. Auch auf Art. 74 Abs. 1 Nr. 1 GG kann der NetzDG-E nicht gestützt werden, denn der Referentenentwurf legt keine Strafbarkeit von sozialen Netzwerken fest. Nur soweit es im Entwurf um Bußgeldvorschriften wegen Verstoßes gegen die Verpflichtungen geht, könnte sich die Gesetzgebungskompetenz des Bundes aus Art. 74 Abs. 1 Nr. 1 GG ergeben.
1 NetzDG-RefE v. 14.3.2017, S. 1, 11.
315
Anhang
6 Neu stützt sich der RefE nun auf eine Gesetzgebungskompetenz des Bundes nach Art. 74 Abs. 1 Nr. 7 GG (öffentliche Fürsorge), da „das Schutzziel des Gesetzentwurfes, das sich gegen die Verrohung der Debattenkultur in sozialen Netzwerken richtet, auch den Schutzzweck des Jugendmedienschutzes berührt, nämlich die Entwicklung von Kindern und Jugendlichen oder ihre Erziehung zu einer eigenverantwortlichen und gemeinschaftsfähigen Persönlichkeit“2. Dies überrascht, denn im Vorentwurf führte das BMJV noch ausführlich dazu aus, wie gut und effektiv die Entfernung von Inhalten im Bereich der Kinder- und Jugendpornografie funktioniere. Es hieß dort u. a.: „Insbesondere die Pornografiedelikte der §§ 184 ff. des Strafgesetzbuches sind nicht in Abs. 3 aufgeführt, da diese Straftaten im Internet bereits effektiv verfolgt werden. Hier besteht bereits eine enge Kooperation zwischen dem Bundeskriminalamt (BKA), der länderübergreifenden Stelle jugendschutz.net, der Hotline des eco-Verbandes der Internetwirtschaft e. V. (eco e. V.), der Hotline der Freiwilligen Selbstkontrolle Multimedia Diensteanbieter e. V. (FSM e. V.), im Weiteren als „Beschwerdestellen“ bezeichnet, und der Bundesprüfstelle für jugendgefährdende Medien (BPjM). Grundlage für die Zusammenarbeit von BKA, Beschwerdestellen und BPjM ist eine Kooperationsvereinbarung, in der die Verfahrensweise bei deutschen und ausländischen Fällen und die Grundlagen für eine einheitliche statistische Auswertung festgehalten sind.“ 7 Sofern diese Änderung kompetenzrechtlichen Erwägungen geschuldet sein sollte, ist darauf hinzuweisen, dass die Straftatbestände betr. die Kinder- und Jugendpornografie allenfalls einen Randbereich der eigentlich mit dem Referentenentwurf adressierten Probleme der Hasskriminalität und strafbaren Falschnachrichten („Fake News“) darstellen und dient damit nicht spezifisch dem Kinder- und Jugendschutz; eine Gesetzgebungskompetenz des Bundes für ein NetzDG kann darauf nicht gestützt werden. 2. Verstoß gegen Art. 14, 15 ECRL 8 Soziale Netzwerke sind Hosting-Dienste i. S. v. Art. 14 ECRL. Regelungen zu sozialen Netzwerken, wie sie im Referentenentwurf vorgenommen werden, betreffen daher den durch diese Vorschrift harmonisierten Bereich. Das erkennt auch der Referentenentwurf3. Der Entwurf verkennt aber die Grenzen mitgliedstaatlicher Regelungen und verstößt gleich mehrfach gegen die verbindlichen Vorgaben der ECRL: 2 NetzDG-RefE v. 14.3.2017, S. 12. 3 NetzDG-RefE v. 14.3.2017, S. 12 f.
316
Stellungnahmen
–
Starre und kurze Fristen: Nach Art. 14 Abs. 1 lit. b ECRL sind Hos- 9 ting-Dienste verpflichtet, „unverzüglich“ tätig zu werden, wenn sie von einem Rechtsverstoß Kenntnis erlangen. Die ECRL legt damit einen flexiblen Maßstab fest, der Raum für erforderliche Anpassungen im Einzelfall zulässt. Der Referentenentwurf sieht demgegenüber starre und zudem enge Fristen (24 Stunden bei offensichtlich rechtswidrigen, sowie 7 Tage für „jeden rechtswidrigen Inhalt“) vor. Der BGH hat festgehalten, dass der deutsche Gesetzgeber den in Art. 14 ECRL enthaltenen Begriffen wegen der damit beabsichtigten Vollharmonisierung keinen über Art. 14 hinausgehenden Inhalt geben könne; „die Mitgliedsstaaten dürfen weder weitere noch engere Regelungen im nationalen Recht vorsehen“4. Die starren und kurzen Fristen des Referentenentwurfs stellen eine engere Regelung dar, als sie Art. 14 ECRL mit dem flexiblen Begriff „unverzüglich“ vorsieht.
–
Soweit der Referentenentwurf demgegenüber auf die Erwägungsgrün- 10 de 46 und 48 ECRL verweist, greift dies nicht, denn diese gestatten Verfahren vor der unverzüglichen Entfernung bzw. Anordnungen von Gerichten und Behörden, lassen den Tatbestand des Art. 14 Abs. 1 ECRL und damit auch den Rechtsbegriff „unverzüglich“ unberührt.
–
Rechtswidrigkeit der inkriminierten Information: Eine Pflicht zum 11 Tätigwerden begründet Art. 14 der ECRL für den Hosting-Dienst, wenn dieser die tatsächliche, positive menschliche Kenntnis erlangt hat, dass ein konkreter Inhalt auf seiner Plattform rechtswidrig ist. Dies umfasst nach h. M. auch die Kenntnis von der Rechtswidrigkeit der inkriminierten Information5. Der Referentenentwurf geht demgegenüber davon aus, dass der Anbieter eines sozialen Netzwerkes bei behaupteten Rechtsverletzungen durch die Einholung einer Stellungnahme des Verfassers bzw. durch externen Rechtsrat Ermittlungen zur Rechtswidrigkeit durchführt. Eine solche Pflicht, sich die Kenntnis erst zu verschaffen, ist mit den Vorgaben der Richtlinie nicht zu vereinbaren. Damit ist das Grundproblem der vom Referentenentwurf betroffenen Rechtsverletzungen berührt: Abgesehen von krassen z. B. rassistischen Schmähungen lässt sich einer Äußerung eben nicht auf den ersten Blick ansehen, ob sie rechtsverletzend oder unter dem Gesichtspunkt zulässiger Meinungsäußerung rechtmäßig ist. Dafür sind schwierige und komplexe Abwägungen unter Heranziehung des Kontextes der Äußerung erforderlich, die einem Anbieter sozialer Netzwerke, der weder Bezug zu den Beteiligten einer Äuße-
4 BGH v. 4.7.2013 – I ZR 39/12, AfP 2014, 145 Rz. 19 – Terminhinweis mit Kartenausschnitt. 5 Spindler/Schuster, Recht der elektronischen Medien, § 10 TMG Rz. 18 m.w.N.
317
Anhang
rung noch Kenntnis von deren Kontext hat, nicht möglich sind. In Bezug auf Suchmaschinen führt der Richter am BVerfG Prof. Dr. Masing aus6: 12 –
„Wann eine Äußerung als Beleidigung untersagt werden darf und wann sie als Wahrnehmung der Meinungsfreiheit hinzunehmen ist, unterliegt vielfach gestuften Rechtsvermutungen, Deutungsanforderungen und Abwägungsvorbehalten. Ebenfalls unterliegt ausdifferenzierten Regelungen, wann eine Person über eine andere welche Tatsachen behaupten darf, wie hierbei die Frage der Wahrheit der Tatsachenbehauptung zu beurteilen ist und diesbezüglich Darlegungs- und Beweislast zu verteilen sind; hierbei ist etwa auch zwischen der Presse und Privatpersonen zu unterscheiden. Wiederum spezifische Regeln gelten für die Frage was als ‚Privatsphäre‘ der Berichterstattung in welchen Situationen entzogen ist. [...] Das Spannungsverhältnis zwischen Äußernden und Betroffenen ist bisher grundsätzlich zwischen den sich insoweit mit je eigenen Rechten gegenüberstehenden Parteien ausgetragen und entschieden worden.“
13 –
Zu weite Löschungspflichten: Art. 14 der ECRL sieht ein NoticeAnd-Takedown-Verfahren in Bezug auf konkrete (gemeldete) Inhalte vor. Die Erstreckung dieser Pflicht in § 3 Abs. 2 Nr. 6 NetzDG-E auf „sämtliche auf den Plattformen des sozialen Netzwerks befindlichen Kopien des rechtswidrigen Inhalts“ stellt daher nicht eine „Konkretisierung und Klarstellung der Löschungsverpflichtung“7, sondern deren europarechtswidrige Erweiterung dar. Die Streichung der im Vorentwurf noch enthaltenen Vorschrift § 3 Abs. 2 Nr. 7 NetzDG-E, mit dem die Anbieter verpflichtet werden sollten, „wirksame Maßnahmen gegen das erneute Hochladen bereits entfernter rechtswidriger Inhalte zu treffen“8, ist wegen des offensichtlichen Verstoßes gegen die ECRL zu begrüßen, kann aber die Europarechtswidrigkeit des Entwurfs nicht ausräumen.
14 –
Soweit die Verfasser des Referentenentwurfs bei den über ein Notice-And-Takedown hinausgehenden Pflichten an die Rechtsprechung des EuGH9 und die ihr folgenden Urteile des BGH10 denken, verken-
6 Vgl. http://verfassungsblog.de/ribverfg-masing-vorlaeufige-einschaetzung-dergoogle-entscheidung-des-eugh/. 7 So NetzDG-RefE v. 14.3.2017, S. 24. 8 NetzDG-RefE v. 14.3.2017, S. 24. 9 EuGH v. 12.7.2011 – C-324/09, ECLI:EU:C:2011:474, ITRB 2011, 198 = CR 2011, 597 m. Anm. Volkmann – L‘Oréal/eBay. 10 Z.B. BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 = GRUR 2011, 1038 – Stiftparfüm.
318
Stellungnahmen
nen sie, dass es in diesen Fällen um Verletzungen von Rechten des geistigen Eigentums ging, und dass sich die vom EuGH erkannten weitergehenden Pflichten der Hosting-Dienste auf entsprechende europarechtliche Gestattungsnormen stützen konnten, nämlich Art. 8 Abs. 3 Richtlinie 2001/29 bzw. Art. 11 S. 3 Richtlinie 2004/48. Entsprechende Regelungen bestehen in Bezug auf die hier in Rede stehenden Verletzungen des allgemeinen Persönlichkeitsrechts (bzw. Schutzgüter des Staatsschutzes) nicht. Darin liegt auch kein Versäumnis des europäischen Gesetzgebers, denn Persönlichkeitsrechtsverletzungen, die stets im Einzelfall eine umfassende kontextbezogene Abwägung erfordern, eignen sich nicht für generelle oder gar vorbeugende Maßnahmen losgelöst vom Einzelfall. Auch hier zeigt sich wieder das Grundproblem des RefE: Die erforderliche umfassende Abwägung ist einem Diensteanbieter, der ohne Kenntnis vom Kontext und ohne Beziehung zu den Beteiligten einer angegriffenen Äußerung eine Tätigkeit rein technischer, automatischer und passiver Art ausführt, in der Regel schon nicht möglich; ausgeschlossen ist dies jedenfalls für „vorbeugende Maßnahmen gegen zukünftige Rechtsverletzungen“. –
Allgemeine Überwachungspflicht: Die Verpflichtung in § 3 Abs. 2 15 Nr. 6 führt entgegen Art. 15 ECRL auch dazu, dass soziale Netzwerke die von ihnen gespeicherten Informationen überwachen und aktiv nach Umständen forschen müssen, die auf eine rechtswidrige Tätigkeit hinweisen. Es handelt sich dabei nicht um eine gemäß Erwägungsgrund 47 zulässige spezifische Überwachungspflicht, da jeder gespeicherte Inhalt auf der betreffenden Plattform mit solchen Inhalten abgeglichen werden müsste, die gesperrt worden sind, um weitere Kopien ausfindig zu machen. Damit beträfen die Überwachungspflichten alle Inhalte auf der Plattform11. Der RefE verkennt den Pflichtenumfang seiner Regelungen, wenn er meint, damit würde keine „allgemeine Recherchepflicht“ statuiert (S. 12). Im Übrigen führte die Tatsache, dass eine Verhinderung technisch möglich wäre, wie der Entwurf dies für Bildinhalte annimmt, und von sozialen Netzwerken ggf. eingesetzt wird (S. 24), nicht zugleich dazu, dass dies zulässigerweise rechtlich verbindlich festgeschrieben werden kann.
–
Ungleichbehandlung: Die ECRL (v. a. bei Art. 14) unterscheidet nicht 16 zwischen großen und kleinen Unternehmen oder gar Unternehmen mit Marktmacht. Eine Differenzierung, wie sie mit dem RefE erfolg-
11 Vgl. EuGH, Rs. 360/10 – SABAM/Netlog; BGH v. 5.2.2015 – I ZR 240/12, ITRB 2015, 131 = CR 2015, 386 = GRUR 2015, 485 Rz. 51, 59 – Kinderhochstühle im Internet III.
319
Anhang
te, verstößt gegen die Richtlinie, aber auch gegen den allgemeinen Gleichheitssatz und führte zu einer Fragmentierung des Binnenmarkts. Mit der Streichung des Kriteriums „registriert“ zur Bestimmung der Nutzerzahl wird eine Ermittlung, welche Anbieter unter diese Regelung fallen, im Übrigen kaum möglich sein. 17 –
Übrige Pflichten: Auch die Berichtspflichten gem. § 2, die Informations- und Begründungspflichten gegenüber einem Beschwerdeführer und dem betroffenen Nutzer gem. § 3 Abs. 2 Nr. 5, die Dokumentations-, Kontroll- sowie weitere Pflichten nach § 3 Abs. 3 und Abs. 4, die Pflicht zur unverzüglichen Kenntnisnahme in § 3 Abs. 2 Nr. 1 und die Pflicht zur Beweissicherung und Speicherung im Inland gem. § 3 Abs. 2 Nr. 4 stehen nicht im Einklang mit den Vorgaben der ECRL.
18 –
Verstoß gegen Herkunftslandprinzip: Die Regelungen des RefE verstoßen gegen das Herkunftslandprinzip in Art. 3 Abs. 1 ECRL. Entgegen seiner Begründung12 greift keine Ausnahmeregelung. Das Herkunftslandprinzip verbietet es, über die durch die Richtlinie gesetzten Höchststandards hinauszugehen und den Diensteanbieter schärferen Regelungen als in seinem Herkunftsstaat zu unterwerfen13. Betreiber sozialer Netzwerke, die ihren Sitz im EU-Ausland haben, sind den dort geltenden Regelungen unterworfen. Auf eine Ausnahme durch abstrakt-generelle Normen, wie sie abschließend in Art. 3 Abs. 3 ECRL i. V. m. Anhang zu Art. 3 geregelt sind, stützt sich der RefE nicht; eine solche Ausnahme liegt auch nicht vor. Maßnahmen i. S. d. Art. 3 Abs. 4 ECRL, auf die die Begründung des Referentenentwurfs hinweist, sind hingegen ausschließlich behördliche Schutzmaßnahmen nach Abwägung im konkreten Einzelfall; abstrakt-generelle Normen, die gezielt auf die Beschränkung der Ausübung eines Dienstes abzielen, sind unangemessen14. Eine solche Regelung richtete sich auch nicht „auf einen bestimmten Dienst“ i. S. d. Art. 3 Abs. 4 ECRL, sondern auf die gesamte Kategorie „Anbieter sozialer Netzwerke“. Es sind aber nur solche Maßnahmen zulässig, die sich gegen einen ganz bestimmten, konkret bezeichneten Anbieter richten15. Zudem müsste vor einer Maßnahme gegen einen bestimmten Dienst der Informationsgesellschaft zunächst der Mitgliedstaat, in dem der betroffene Diensteanbieter seinen Sitz hat, erfolglos aufgefordert worden sein,
12 NetzDG-RefE v. 14.3.2017, S. 12 f. 13 Vgl. EuGH, AfP 2011, 265, Tz. 54–56 – eDate Advertising. 14 Vgl. Gersdorf/Paal, Informations- und Medienrecht, § 3 TMG, Rz. 32; Spindler/Schuster, Recht der elektronischen Medien, § 3 TMG Rz. 22. 15 Vgl. Mitteilung der EU-Kommission v. 14.5.2003, KOM(2003) 259 endg., S. 5.
320
Stellungnahmen
Maßnahmen gegen den Diensteanbieter zu ergreifen; auch die EUKommission wäre über geplante Maßnahmen zu unterrichten. –
Fehlerhaft ist auch die Annahme16, es läge ein dringlicher Fall i. S. d. 19 Art. 3 Abs. 5 ECRL vor, der eine Abweichung von diesem Verfahrensablauf ermöglichte. Der Entwurf gibt selbst an, mit den Betreibern von sozialen Netzwerken bereits im Jahr 2015 eine Task Force ins Leben gerufen zu haben, um der zunehmenden Verbreitung von Hasskriminalität entgegenzuwirken. Die Thematik ist bereits seit mehreren Jahren bekannt, wird zudem auch auf EU-Ebene diskutiert und es sind Lösungsansätze mit unterschiedlichen sozialen Netzwerken besprochen worden. Unvorhergesehene Entwicklungen, die ein sofortiges Einschreiten gegen sämtliche großen Anbieter sozialer Netzwerke erforderte, sind nicht ersichtlich.
–
Fehlende Dringlichkeit: Entsprechendes gälte im Übrigen auch im 20 Rahmen der Notifizierung nach der Richtlinie 2015/1535, die der deutsche Gesetzgeber offenbar am 28.3.2017 eingeleitet hat. Eine Dringlichkeit für die Umsetzung des NetzDG, die eine Ausnahme von der dreimonatigen Sperrfrist der Notifizierung nach Art. 6 Abs. 7 der Richtlinie 2015/1535 begründete, besteht aus den eben dargestellten Gründen nicht. Eine solche Dringlichkeit käme bei dringenden Gründen in Betracht, die auf einer unvorhergesehenen, plötzlich eingetretenen Situation „ohne die Möglichkeit einer vorherigen Konsultation“ beruhen (Art. 6 Abs. 7 lit. a der Richtlinie 2015/1535). Das liegt hier nicht vor, zumal das Thema Hasskriminalität auch auf europäischer Ebene adressiert wird. Es wäre zudem erforderlich, dass sich die Dringlichkeit gerade auf Deutschland bezieht. Auch das ist hier nicht ersichtlich.
3. Verfassungsrechtliche Aspekte a) Übertragung der „Rechtsdurchsetzung“ auf Private; fehlerhafte Anreize Mit der umfangreichen Pflichtenübertragung auf die Anbieter sozialer 21 Netzwerke sind zugleich weitere, verfassungsrechtliche Probleme verbunden, die mit dem von Bundesministerin Zypries geprägten Begriff der „Privatisierung der Rechtsdurchsetzung“ treffend umschrieben sind. In Widerspruch zu dieser Pflichtenübertragung hebt der Referentenentwurf selbst hervor, dass nach der Kompetenzverteilung des Grundgesetzes allein die Gerichte dazu berufen sind, über die Strafbarkeit einer Hand-
16 NetzDG-RefE v. 14.3.2017, S. 13.
321
Anhang
lung zu entscheiden, und ergänzt: „Zudem trägt die enge Einbeziehung der Gerichte zur notwendigen Klärung der Strafbarkeit von Handlungen und Äußerungen in sozialen Netzwerken bei“17. Vom Anbieter eines sozialen Netzwerks verlangt der Entwurf, dass dieser über die Strafbarkeit derselben Handlungen innerhalb starrer und sehr kurzer Fristen nicht nur entscheidet, sondern die betreffenden Inhalte auch (endgültig) entfernt. Hinsichtlich der Auferlegung ähnlicher Pflichten bei Suchmaschinenbetreibern kritisierte der Richter am Verfassungsgericht Masing, dass diese damit zu privaten Schiedsinstanzen mit weitreichenden Entscheidungsbefugnissen über die Kommunikation im Netz auch in inhaltlicher Hinsicht würden (a. a. O.). 22 Mit dieser Übertragung von (Staats-)Aufgaben auf private Instanzen incentiviert der Referentenentwurf für den Dienstanbieter, Inhalte auf eine Meldung hin ohne Prüfung zu sperren. Denn warum sollte sich ein privates Unternehmen dem Risiko eines Bußgeldes aussetzen? Umgekehrt wird damit zugleich für den vermeintlich Betroffenen ein starker Anreiz gesetzt, gegen den Anbieter sozialer Netzwerke auch dann vorzugehen, wenn ihm der sich Äußernde bekannt ist, da er hier in kurzen Fristen und ohne rechtliches und finanzielles Risiko sein Ziel ohne eine langwierige und schwierige Auseinandersetzung mit ungewissem Ausgang erreichen kann. Das rechtliche Gehör des sich Äußernden bleibt dabei auf der Strecke. Inhalte würden so aus dem Netz entfernt, ohne dass deren Rechtswidrigkeit festgestellt worden wäre. Auch das weitere Verfahren, sofern es nicht zu einer Entfernung gemeldeter Inhalte kommt, ist vor dem Hintergrund der Verfahrensgrundrechte bedenklich: Soweit – wie erwähnt – die Feststellung der Strafbarkeit einer Äußerung dem AG Bonn vorbehalten bleibt, erfolgt dessen Entscheidung weder in einem Verfahren noch sind die Beteiligten, insbesondere der sich Äußernde, in die Entscheidungsfindung eingebunden. Die gerichtliche Entscheidung nach § 4 Abs. 5 NetzDG-E kann (und würde wohl im Regelfall) ohne mündliche Verhandlung erfolgen; sie ist nicht anfechtbar (§ 4 Abs. 5 S. 4 und S. 5 NetzDG-E). Auch dies ist mit Grundsatz auf rechtliches Gehör (Art. 103 Abs. 1 GG) nicht zu vereinbaren. b) Einschnürende Effekte für die Kommunikationsgrundrechte 23 Mit großer Besorgnis sieht die DGRI, dass der RefE die Meinungsfreiheit kaum anspricht. Zu den wahrscheinlichen Folgen der fehlerhaften Anreize durch den NetzDG-E wurde schon ausgeführt. Dabei geht sogar der Gesetzgeber davon aus, dass nur 2 % der an das Bundesamt für Justiz 17 NetzDG-RefE v. 14.3.2017, S. 27.
322
Stellungnahmen
gerichteten Anzeigen begründet sein werden18. Damit wird das Risiko für die Entfernung zulässiger Inhalte spürbar. Der Gesetzesentwurf wird einschnürende Effekte auf die Meinungs- und Informationsfreiheit haben, vor denen das BVerfG stets warnt19. Dieses Risiko ist umso greifbarer, als der Entwurf des NetzDG keiner- 24 lei Vorgaben zum Inhalt eines Hinweises und zur Substantiierung der Rechtswidrigkeit macht. Damit wird es für den Betreiber eines sozialen Netzwerkes im Zweifel nicht immer sicher feststellbar sein, ob tatsächlich ein „rechtswidriger Inhalt“ i. S. d. § 1 Abs. 3 NetzDG-E vorliegt. Auch dies verstärkt mit Blick auf die drohenden Bußgelder den Anreiz, im Zweifel eine Löschung vorzunehmen, auch wenn diese dem Schutz der Kommunikationsfreiheit nicht gerecht wird. Man kann dabei davon ausgehen, dass nicht die offenkundige, schwer- 25 wiegende Verletzung etwa durch unzweifelhafte rassistische Schmähungen den Regelfall des Anwendungsbereiches des NetzDG-E darstellen wird (wobei der auf solche Verletzungen hingewiesene Anbieter schon nach der geltenden Rechtslage regelmäßig seinen Entfernungspflichten nach § 10 TMG nachkommen wird), sondern diejenigen Fälle, bei denen die Rechtswidrigkeit nicht offensichtlich ist. Daran ist der RefE zu messen, zumal der Katalog in § 1 Abs. 3 NetzDG-E sich auch nicht auf Straftatbestände beschränkt, die Hasskriminalität erfassen. Mit der Einbeziehung insbesondere der Vorschrift des § 185 StGB unterfällt vielmehr jede einfache Beleidigung dem Anwendungsbereich des Referentenentwurfs. Der Dammbruch durch Meldungen von vermeintlich Betroffenen, die sich die kurzen Fristen und erheblichen finanziellen Risiken der Betreiber sozialer Netzwerke zu Nutze machen wollen, ist vorprogrammiert. Die erforderliche Berücksichtigung der Meinungsfreiheit scheitert beim 26 RefE schon aufgrund seiner starren und kurzen Fristen: Wenn nach § 3 Abs. 2 NetzDG-E eine Löschung innerhalb von 24 Stunden bzw. 7 Tagen zu erfolgen hat, können die Belange des sich Äußernden nicht angemessen berücksichtigt werden. Das gilt gerade auch in Bezug auf sog. „Fake News“, bei denen es sich regelmäßig (wohl) um unwahre Nachrichten, also regelmäßig um Tatsachenbehauptungen handeln wird. Die Prüfung, ob eine Behauptung unwahr ist, wird aber in vielen Fällen eine aufwendige Prüfung mit sich bringen, die zumindest innerhalb einer Frist von 24 Stunden bzw. 7 Tagen nicht zu bewältigen ist.
18 NetzDG-RefE v. 14.3.2017, S. 16. 19 Vgl. nur BVerfG v. 25.6.2009 – 1 BvR 134/03, AfP 2009, 480 – Pressespiegel.
323
Anhang
27 Mit seinen weitergehenden Pflichten, dass „sämtliche Kopien“ des Inhalts entfernt bzw. die Inhalte nicht noch einmal eingestellt werden dürfen (§ 3 Abs. 2 Nr. 6 und Nr. 7 NetzDG-E), verkennt der RefE die Vorgaben der ständigen Rechtsprechung des BVerfG, wonach eine Äußerung stets in ihrem Kontext und unter Abwägung aller betroffenen Interessen zu beurteilen ist20. Der Entwurf blendet die Gesamtumstände aus, auf die es stets ankommt. Denn aus dem jeweiligen Kontext kann sich etwa ergeben, dass ein zulässiges Zitat vorliegt, eine Polemik, Satire oder ähnliches gegeben ist. c) Zur neuen datenschutzrechtlichen Ermächtigung einer Auskunftserteilung über Dritte 28 Gänzlich neu eingefügt wurde in den notifizierten Referentenentwurf vom 27.3.2017 eine Ergänzung des § 14 Abs. 2 TMG. Diese in letzter Sekunde eingefügte Vorschrift dehnt die Anwendung der datenschutzrechtlichen Ermächtigungsnorm nicht nur aus; sie geht weit über die für den Gesetzeszweck des RefE notwendige Gestattung hinaus, denn es werden Hosting-Dienste ermächtigt, Daten über Dritte herauszugeben betreffend die Durchsetzung von allen absolut geschützten Rechten. Auch hier führt die gesetzgeberische Eile zu nicht hinnehmbaren Beeinträchtigungen wesentlicher Verfassungsgüter und Grundrechte. 29 Einer Ergänzung von § 14 Abs. 2 TMG, um Strafverfolgungsbehörden zu ermöglichen, Daten von Anbietern sozialer Netzwerke übermittelt zu bekommen, bedurfte es nicht, denn diese Ermächtigung enthält der geltende § 14 Abs. 2 TMG schon („für Zwecke der Strafverfolgung“). Der Wirkungsbereich der Ergänzung richtet sich damit auf die Durchsetzung zivilrechtlicher Ansprüche. Dabei stellt § 14 Abs. 2 TMG nur eine datenschutzrechtliche Ermächtigung dar; die Vorschrift besagt, dass Diensteanbieter bestehende Auskunftsansprüche nicht aus datenschutzrechtlichen Erwägungen zurückweisen können21. Eine Anspruchsgrundlage auf Auskunft über Dritte beinhaltet § 14 Abs. 2 TMG nicht. Soweit der RefE in seiner geänderten Fassung auf die sog. Jameda-Entscheidung des BGH verweist22, folgt daraus ein allgemeiner Auskunftsanspruch über Dritte gerade nicht. Zwar hat der BGH in Einzelfällen den Auskunftsanspruch aus §§ 242, 259, 260 BGB auch auf eine Auskunft über Dritte ausgedehnt, 20 Vgl. nur BGH v. 11.12.2012 – VI ZR 314/10, CR 2013, 184 = AfP 2013, 57, Tz. 32 – IM Christoph; BGH v. 25.10.2011 – VI ZR 93/10, ITRB 2012, 28 = CR 2012, 103 = AfP 2012, 50 – Blog-Eintrag; zu Bildnisveröffentlichungen BGH v. 23.6.2009 – VI ZR 232/08, AfP 2009, 406 – Casiraghi mit Fliege. 21 Vgl. BT-Drucks. 16/3078, 16. 22 BGH, BGHZ 201, 380.
324
Stellungnahmen
dabei jedoch stets betont, dass es sich um Einzelfallentscheidungen unter einer gründlichen Verhältnismäßigkeitsprüfung handelt. Anders ließe sich diese Rechtsprechung auch nicht zu den ausdrücklichen Drittauskunftsansprüchen im gewerblichen Rechtsschutz und Urheberrecht (vgl. z. B. § 101 UrhG) abgrenzen. Dem Auskunftsanspruch, den der RefE ins Auge fasst, stehen wesent- 30 liche Rechtsgrundsätze entgegen: Nach § 13 Abs. 6 TMG sollen Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Norm ist eine Konkretisierung des Datenvermeidungsgebots und Ausfluss des Rechts auf informationelle Selbstbestimmung der Nutzer. Darüber hinaus wäre eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden können, nicht mit Art. 5 Abs. 1 S. 1 GG vereinbar. Die Verpflichtung, sich namentlich zu einer bestimmten Meinung zu bekennen, würde die Gefahr begründen, dass der Einzelne aus Furcht vor Repressalien oder sonstigen negativen Auswirkungen sich dahingehend entscheidet, seine Meinung nicht zu äußern. Dieser Gefahr der Selbstzensur soll durch das Grundrecht auf freie Meinungsäußerung entgegen gewirkt werden23. Mit einem schlichten Verweis auf ein früheres und ein laufendes Gesetz- 31 gebungsverfahren und ohne eigene Begründung und Prüfung führt der RefE eine weit über den Zweck des Entwurfes hinausgehende Ermächtigung ein. Im bezogenen Gesetzgebungsverfahren hatte der Gesetzgeber eine entsprechende Regelung diskutiert, aber nach Anhörung verschiedener Sachverständiger verworfen24. Eine solche gründliche Prüfung ist unabdingbar und im vorliegenden Verfahren nicht erfolgt. Der Verweis auf § 24 BDSG n. F. kann schon deshalb nicht hinreichen, weil es sich hierbei selbst nur um einen Entwurf handelt; zudem deutet die dortige Begründung darauf hin, dass jene Regelung nicht zur Durchsetzung von Rechten Dritter zu dienen bestimmt ist25. Es mag eine zu schließende Lücke bestehen, für bestimmte Verletzun- 32 gen des Persönlichkeitsrechts einen Auskunftsanspruch zu ermöglichen. Dafür wäre aber ein geordnetes Gesetzgebungsverfahren, in dem die widerstreitenden Interessen und Rechte ermittelt und gegeneinander abgewogen werden, notwendig. Das Versäumnis eines solchen Verfahrens führt im vorliegenden Fall führt zu einer nicht akzeptablen, einseitigen Regelung. 23 Vgl. BGH, NJW 2009, 2888 Rz. 38 – spickmich.de. 24 Vgl. dazu BGHZ 201, 380 Rz. 16. 25 Vgl. BT-Drucks. 18/11325, 96.
325
Anhang
d) Zur Speicherungspflicht zu Beweiszwecken auf inländischen Servern 33 Die Pflicht für ausländische Unternehmen, in Deutschland Server zu betreiben und hier zu „Beweiszwecken“ entfernte Inhalte im Inland zu speichern (§ 3 Abs. 2 Nr. 4 NetzDG-E), ist beispiellos; diesen Pflichten stehen schwerwiegende verfassungsrechtliche Bedenken entgegen: 34 Zum einen wird diese Speicherpflicht auch personenbezogene Daten betreffen, ohne dass die Speicherung auf eine bestimmte Dauer, einen näheren Zweck oder bestimmte Verwendungs- und Zugriffsrechte beschränkt wäre. Die Einfügung einer zeitlich beschränkten Speicherung im geänderten Entwurf vom 27.3.2017 (begrenzt auf 10 Wochen) führt nicht zur Zulässigkeit der Regelung. Denn die weiterhin pauschale und unbeschränkte Speicherungspflicht „auf Vorrat“ ist unvereinbar mit dem Recht des Betroffenen auf informationelle Selbstbestimmung. Einschränkungen bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die insbesondere den rechtsstaatlichen Geboten der Normenklarheit und Verhältnismäßigkeit entsprechen muss. Auch fehlte es an den erforderlichen organisatorischen und verfahrensrechtlichen Vorkehrungen, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken26. Zur fehlenden Rechtmäßigkeit der Vorratsdatenspeicherung bemängelte der EuGH zudem, dass die Regelungen zur Vorratsdatenspeicherung keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung und kein objektives Kriterium vorsah, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken27. Diese Erwägungen gelten in noch stärkerem Maße für den Referentenentwurf: Der NetzDG-E beschränkt sich in seiner Regelung zur Speicherungspflicht zu Beweiszwecken (vgl. § 3 Abs. 2 Nr. 4 NetzDG-E) auf einen lapidaren Halbsatz, jegliche Konkretisierung fehlt. Dem datenschutzrechtlichen Erforderlichkeitsgrundsatz wird nicht Rechnung getragen, es erfolgt keinerlei Begrenzung hinsichtlich der Art der Daten und der möglichen Betroffenen oder Vorgaben zu notwendigen Sicherheitsvorkehrungen. Es ist nicht geregelt, wer in die Daten Einsicht nehmen kann und wann und unter welchen Voraussetzungen welche Stelle Auskunft verlangen kann bzw. wie mit den Daten im weiteren Verlauf verfahren werden soll und wie (und wann) eine Löschung gegebenenfalls zu erfolgen hat.
26 BVerfG v. 15.12.1983 – 1 BvR 209/83, juris, Leitsatz 2 – Volkszählungsurteil. 27 EuGH, NJW 2014, 2169, Tz. 61 f.
326
Stellungnahmen
Daneben fehlt der Regelung die notwendige verfassungsgemäße gesetz- 35 liche Grundlage, wie dies der aus dem Rechtsstaats- und Demokratieprinzip erwachsende Vorbehalt des Gesetzes verlangt. Schon ein Gesetzeszweck für die Speicherung im Inland lässt sich mit der erforderlichen Bestimmtheit weder aus den Regelungen selbst noch aus der Begründung entnehmen: In § 3 Abs. 2 Nr. 4 NetzDG-E heißt es nur „zu Beweiszwecken“, ohne dass klar würde, welcher Beweis zu sichern und zu welchen Zwecken dies erfolgen soll. Aber auch die Begründung bleibt ungenau: „in erster Linie“ soll die Sicherung der Strafverfolgung gegen den „Absender“ einer Nachricht dienen. Eine konkrete Beschlagnahmemaßnahme nach den Vorgaben der StPO muss gerade nicht vorliegen; vielmehr sollen Pflichten der sozialen Netzwerke im Vorfeld begründet werden, an die ggf. z. B. Beschlagnahmeentscheidungen nach § 94 Abs. 2 StPO anschließen könnten. Auch das wird aber nicht näher konkretisiert. Mangels eines Gesetzeszwecks fehlt für die erforderliche Verhältnismäßigkeitsprüfung schon eine Grundlage, an der die Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit i. e. S. zu messen wäre. 4. Zur Frage der internationalen Anwendbarkeit des deutschen Strafrechts Der Referentenentwurf will (tut dies aber letztlich nicht) den Begriff des 36 rechtswidrigen Inhalts bewusst eng definieren und knüpft ihn an einen Katalog enumerativ aufgezählter Strafrechtsvorschriften, nämlich der §§ 86, 86a, 90, 90a, 111, 126, 130, 140, 166, 185 bis 187, 241 und 269 des Strafgesetzbuchs; dazu treten mit den Änderungen vom 27.3.2017 zusätzlich die Vorschriften §§ 90b, 91, 100a, 129 bis 129b, 131, 184b und 184d StGB. Nicht „begangene Ordnungswidrigkeiten oder bloße unerlaubte Handlungen“, sondern „ausschließlich die Rechtsdurchsetzung bei der Bekämpfung von Hasskriminalität und strafbaren Falschnachrichten“ soll geregelt werden28. Dieses Ziel gibt der Katalog in § 1 Abs. 3 NetzDG-E nicht wieder. Insbesondere der Tatbestand der Beleidigung nach § 185 StGB geht weit über das Ziel hinaus, denn er erfasst nicht nur „Hasskriminalität und strafbare Falschnachrichten“, sondern jede einfache Beleidigung. Zudem spricht der RefE die naheliegende Frage der Grenzen der inter- 37 nationalen Anwendbarkeit des deutschen Strafrechts nicht einmal an. Denn Äußerungen und anderen im Internet abrufbaren Inhalten auf den Plattformen, die der Referentenentwurf in sein Blickfeld genommen hat – Facebook, Twitter, YouTube – ist immanent, dass sie nicht vor Staaten28 NetzDG-RefE v. 14.3.2017, S. 19.
327
Anhang
grenzen haltmachen. Dieses Versäumnis überrascht auch vor dem Hintergrund einer kürzlich ergangenen Entscheidung des 3. Strafsenats des BGH29, in dem eine Person von einem Computer aus Tschechien auf der Plattform YouTube einen Kanal mit der Bezeichnung „Arische Musikfraktion“ betrieb, in dem er u. a. Abbildungen von Hakenkreuzen hochlud. Der BGH verneinte die Anwendbarkeit deutschen Strafrechtes auf diesen Sachverhalt. Das wird entsprechend für die überwiegende Anzahl der in § 1 Abs. 3 NetzDG-E genannten Vorschriften jeweils dann gelten, wenn ein Upload nicht von Deutschland aus erfolgte. Das führt nicht nur dazu, dass dieses Gesetz in einer Vielzahl von Fällen nicht anwendbar sein wird; es erschwert auch den Anbietern sozialer Netzwerke die Feststellung rechtswidriger und offensichtlich rechtswidriger Inhalte. 38 Nach § 3 StGB gilt das deutsche Strafrecht für Inlandstaten, d. h. solche, die in Deutschland begangen wurden. Daneben dehnt das in §§ 5–7 StGB festgelegte Schutzprinzip die nationale Strafgewalt auf Taten aus, die zwar im Ausland begangen werden, jedoch bestimmte inländische Rechtsgüter gefährden oder verletzen. Dies gilt etwa für die §§ 90, 90a, und 90b StGB, dort teilweise mit der Einschränkung, dass der Täter Deutscher ist und seine Lebensgrundlage im Geltungsbereich des StGB hat (vgl. § 5 Nr. 3 StGB), für § 100a StGB – Landesverräterische Fälschung und die §§ 184b, 184d StGB (Straftaten in Bezug auf kinder- und jugendpornographische Inhalte). Von diesen Tatbeständen lässt sich nur § 100a StGB unter die beiden Oberbegriffe Hasskriminalität und strafbare Falschnachrichten („Fake News“) subsumieren. Bei den Tatbeständen der §§ 90, 90a und 90b StGB erscheint fraglich, ob dabei die Bekämpfung von Hasskriminalität und strafbaren Falschnachrichten im Vordergrund stehen. Zudem reicht die internationale Anwendbarkeit dieser Vorschriften überwiegend nur soweit, als ein deutscher Staatsbürger mit Lebensgrundlage in der Bundesrepublik Deutschland die Straftaten begeht, was ein Anbieter sozialer Netzwerke kaum jemals wird feststellen können, insbesondere nicht innerhalb der vom RefE gesetzten Fristen. 39 Für alle übrigen in der Auflistung des § 1 Abs. 3 NetzDG-E genannten Straftatbestände gilt das Territorialitätsprinzip: Sie gelten nur für Straftaten im Inland, d. h. der Ort der Handlung oder teilweise der Erfolgsort müssen in Deutschland liegen. Als Handlungsort wird bei Internetdelikten der Ort angesehen, an dem der Täter körperlich gehandelt hat. Das wird bei den vom Referentenentwurf verfolgten Inhalten häufig – und wie in dem vom BGH entschiedenen Fall – nicht der Fall sein. Bei Internetsachverhalten wird eine „virtuelle Anwesenheit“ des Täters im
29 BGH, NStZ 2015, 81.
328
Stellungnahmen
Inland dann angenommen, wenn dieser Daten mit rechtswidrigem Inhalt vom Ausland her gezielt und kontrolliert auf einem in Deutschland installierten Server ablegt30. Bei den vom Referentenentwurf in Aussicht genommenen Plattformen wird es, sofern diese überhaupt über Server in Deutschland verfügen, jedenfalls an dieser gezielten und kontrollierten Ablage fehlen, denn der Standort der Server wird von technischen Zufälligkeiten abhängig sein, die sich in der Regel nicht vom Täter steuern lassen. Zwar kommt eine Anwendbarkeit deutschen Strafrechts teilweise auch 40 dann in Betracht, wenn der Täter zwar im Ausland handelt, aber der Erfolgsort in Deutschland belegen ist. Hierbei ist zwischen Verletzungsund Gefährdungsdelikten zu unterscheiden. Während Verletzungsdelikte stets Erfolgsdelikte sind, kommt es bei einem Gefährdungsdelikt auf die Schaffung einer Gefahr an. Daher lehnt der BGH bei abstrakten Gefährdungsdelikten die Existenz eines Erfolgsortes grundsätzlich ab, weil diese Delikte keinen Gefahrenerfolg im Sinne der allgemeinen Tatbestandslehre besitzen. Für die Bestimmung des anwendbaren Rechts wird bei abstrakten Gefährdungsdelikten daher allein auf den Handlungsort und nicht auch auf einen etwaigen Erfolgsort abgestellt. Die in § 1 Abs. 3 NetzDG-E genannten Straftatbestände §§ 86, 86a, 111, sowie mit Einschränkungen auch die Vorschriften der §§ 126, 130, 140 StGB sind abstrakte Gefährdungsdelikte. Mit dem BGH bedürfte es zur Feststellung der Anwendbarkeit des deutschen Strafrechts daher einer Untersuchung des im einzelnen Fall einschlägigen Straftatbestands sowie des Aufenthalts- bzw. Tätigkeitsorts des Täters bzw. Teilnehmers. Das wird den Betreibern der vom NetzDG-E angesprochenen Plattformen schon nicht ohne weiteres möglich sein. Es überrascht, dass der Referentenentwurf diese naheliegende und für seinen Wirkungsgrad wichtige Frage nicht einmal anspricht.
30 MünchKomm/StGB, § 9 Rz. 29.
329