Deutsches Forschungsnetz DFN-Infobrief Recht Jahresband infobrief recht. Jahresband 2020

(1)

Jahresband 2020

infobrief recht

(2)

Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, D-10178 Berlin Tel: 030 - 88 42 99 - 0

Fax: 030 - 88 42 99 -370 E-Mail: dfn-verein@dfn.de Web: www.dfn.de

Texte: Forschungsstelle Recht im DFN

Ein Projekt des DFN-Vereins an der Westfälischen Wilhelms-Universität, Institut für Informations-, Telekommunikations- und Medienrecht (ITM), Zivilrechtliche Abteilung, unter Leitung von Prof. Dr. Thomas Hoeren.

Leonardo-Campus 9, D-48149 Münster Mail: recht@dfn.de

Web: www.dfn.de/rechtimdfn/

ISSN 2194-3036

Redaktion: Christine Legner-Koch Satz & Layout: Nina Bark, Maimona Id Umschlagfoto: Labor3 | Renate Schildheuer Druck: Pinguindruck, Berlin

Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN- Vereins und mit vollständiger Quellenangabe.

(3)

stellungen. Dem DFN-Verein ist bewusst, dass Antworten auf solche Rechtsfragen von großer Bedeutung sind, um die neuen Formen der Kommunikation und der Informati- onsverarbeitung in die täglichen Prozesse von Forschung und Lehre erfolgreich und nutzbringend einbinden zu können.

Vor diesem Hintergrund erarbeitet die Forschungsstelle Recht im DFN eine Vielzahl von Stellungnahmen und Handlungsempfehlungen, die in periodischen digitalisierten Publikationen wie z. B. dem „DFN-Infobrief Recht“ an Abonnenten verschickt, auf den Webseiten des DFN-Vereins veröffentlicht und durch regelmäßige Seminare und Gast- vorträge aktiv an die Nutzer des Wissenschaftsnetzes vermittelt werden. Die Publika- tionen sind in digitalisierter Form auf den Webseiten des DFN-Vereins archiviert und abrufbar unter der Adresse: http://www.dfn.de/rechtimdfn/

Mit dem vorliegenden „DFN-Infobrief Recht - Sammelband 2020“ werden diese digitalisierten Publikationen nun durch eine gedruckte und digitale Zusammenfassung ergänzt.

Wir würden uns freuen, wenn auf diesem Wege die Stellungnahmen und Handlungs- empfehlungen der Forschungsstelle Recht im DFN eine weitere Sichtbarkeit erreichen und damit insbesondere auch den Mitgliedern des DFN-Vereins die eine oder andere bislang ungelöste rechtliche Fragestellung einer Beantwortung näher gebracht wird.

Wir wünschen Ihnen eine gewinnbringende Lektüre.

Ihr DFN-Verein

(4)

COVID-19

Social Distance Learning 11

Zur urheberrechtlichen Einordnung des Distance Learning

Corona is calling 15

Datenschutzrechtliche Probleme bei der Auswahl und Benutzung von Videokonferenzprogrammen für den Arbeits- und Hochschulalltag

Januar

Der Feind in meinem Netz – Teil 1 18

Die Melde- und Benachrichtigungspflichten aus Artikel 33, 34 DSGVO im Zusammenhang mit Emotet-Angriffen

First Rule: You Do Not Talk About Uploadfilter! 22 Die ungefilterte Wahrheit über Artikel 17 DSM-RL

Vergriffen heißt nicht vergessen 26

Neuregelung der vergriffenen Werke nach der EU-Urheberrechtsrichtlinie

Februar

Tick Tack – Finger ab? 30

Das Arbeitsgericht Berlin urteilt zur Zulässigkeit und Erforderlichkeit von Fingerprint

Arbeitszeiterfassungssystemen ohne Einwilligung des Arbeitnehmers in die Datenverarbeitung

Die Melde- und Benachrichtigungspflichten aus

Art. 33, 34 DSGVO im Zusammenhang mit Emotet-Angriffen

Kann es Liebe sein? 36

LG Frankfurt am Main stuft den Versand eines Bildnisses per E-Mail als unerlaubte Nutzung ein

März

Ausgeknipst! 40 Ende des Schutzes für Reproduktionsfotografien durch Art. 14 DSM-RL

Das Warten hat kein Ende 43

Geschichten von einer Verordnung, die Jahre auf sich warten ließ – nur, um dann doch nicht verabschiedet zu werden

Ja, ich will! 46

Zu den Vorgaben bei der Einholung und Erteilung einer Einwilligung in die Verarbeitung personenbezogener Daten

April

Zu Risiken und Nebenwirkungen fragen Sie

Ihren Arzt oder Verantwortlichen 51

Zur datenschutzrechtlichen Relevanz von Teletherapie

Admin-C – Sag beim Abschied leise Servus 54 Zur haftungsrechtlichen Verantwortung des

Admin-C nach dem Inkrafttreten der DSGVO

Möge die Firewall mit dir sein 58

Zum Datenschutz bei der Einrichtung von (Viren-) Schutzsystemen im betrieblichen Netzwerk

Mai

Sag mir deinen Namen und ich sag dir, was du bist 62 LG Berlin zu Auskunftsansprüchen wegen Beleidigung auf Social Media-Plattformen

Bis hierher und nicht weiter 65

Der EuGH überträgt seine Rechtsprechung zur digitalen Erschöpfung bei Software nicht auf E-Books

(5)

Juni

Zuhause ist es doch nicht am schönsten? 72 Die vorübergehende Verweisung einer Beamtin ins Home- Office entspricht einer amtsangemessenen Beschäftigung

Mein Name ist Hase, ich weiß von nichts 75 Zum Auskunftsanspruch der DSGVO im arbeitsrechtlichen Kontext anhand des Urteils des Landesarbeitsgerichts Baden-Württemberg

Der BGH und sein letztes Wort zum

Reformistischen Aufbruch 79

Der BGH konkretisiert das Verhältnis von Grundrechten zum Urheberrecht

Juli

Der Prüfling — Allein zu Haus 82

Zur datenschutzrechtlichen Rechtmäßigkeit von Maßnahmen im Zuge von Home-Klausuren

No news is better news 86

Fake News in Corona-Zeiten

Du kommst hier nicht rein! 90

Der Einsatz von Deauthentication-Paketen zur Abwehr von Rogue-Access-Points kann für Ärger mit der Bundesnetzagentur sorgen

August

Ins Wasser gefallen 93

Privacy Shield für Datenübermittlungen über den Atlantik in die USA ungültig

In 90 Tagen zur Verschlüsselung –

der Wettlauf des Eric S. Yuan 100

Zu den Änderungen von „Zoom“ nach Ablauf des 90-Tage- Plans zur Verbesserung des Datenschutzes

September

Mensch gegen Maschine 104

Zur datenschutzrechtlichen Relevanz von automatisierten Proctoringdiensten bei digitalen Prüfungen

Am Anfang war alle Software frei 107

Rechtliche Fallstricke im Umgang mit freier und Open Source Software

Du warst mir ja ´ne Marke! 111

Zum markenrechtlichen Schutz des Begriffs „Webinar“

Oktober

Kontrolle ist gut, Vertrauen ist besser! 113 Zur Frage der datenschutzrechtlichen Zulässigkeit

technischer Überprüfungs- und Kontrollmaßnahmen im Homeoffice

Schwamm drüber, Google 116

Neue Urteile zum Recht auf Vergessenwerden

Data Wars: Der Betroffene schlägt zurück 120 Das Arbeitsgericht Düsseldorf verurteilt Unternehmen zu Schadensersatz gemäß Art. 82 Abs. 1 DSGVO i.H.v. 5.000 Euro

(6)

Der lange Weg zum letzten Willen 125 BGH-Urteil zu Facebooks Umgang mit digitalem Nachlass

Solange du deine (virtuellen) Füße unter meinen (digitalen)

Tisch stellst… 128

Wie weit geht das virtuelle Hausrecht von Hochschulen?

Dezember

O ihr gnadenbringenden Standarddatenschutzklauseln 131 Die Europäische Kommission legt einen Entwurf

neuer Standarddatenschutzklauseln vor und die

Datenschutzgemeinde fragt sich: „Ja, ist denn heut` schon Weihnachten“?

Morgen, Kinder, wird’s was geben 135

Die Möglichkeit einer Vergabe von Zertifizierungen nach Art. 42 DSGVO rückt näher

(No) Return to Sender 138

Auskunftsanspruch aus Art.15 DSGVO umfasst nicht eigene E-Mails

(7)

Arbeitsrecht

Mein Name ist Hase, ich weiß von nichts 75 Zum Auskunftsanspruch der DSGVO im arbeitsrechtlichen Kontext anhand des Urteils des Landesarbeitsgerichts Baden- Württemberg

Kontrolle ist gut, Vertrauen ist besser! 113 Zur Frage der datenschutzrechtlichen Zulässigkeit

technischer Überprüfungs- und Kontrollmaßnahmen im Homeoffice

Beamtenrecht

Datenschutzrecht

Artikel 33, 34 DSGVO im Zusammenhang mit Emotet-Angriffen

Art. 33, 34 DSGVO im Zusammenhang mit Emotet-Angriffen

Kann es Liebe sein? 36

LG Frankfurt am Main stuft den Versand eines Bildnisses per E-Mail als unerlaubte Nutzung ein

Ja, ich will! 46

Zu den Vorgaben bei der Einholung und Erteilung einer Einwilligung in die Verarbeitung personenbezogener Daten

Zu Risiken und Nebenwirkungen fragen Sie Ihren

Arzt oder Verantwortlichen 51

Zur datenschutzrechtlichen Relevanz von Teletherapie

Admin-C – Sag beim Abschied leise Servus 54 Zur haftungsrechtlichen Verantwortung des Admin-C

nach dem Inkrafttreten der DSGVO

(8)

Verdammt ich lieb dich, ich lieb dich nicht 68 Die erste Evaluierung der DSGVO steht an. Vorläufiges

Ergebnis: Viel Lob – aber auch Verbesserungsvorschläge

Mein Name ist Hase, ich weiß von nichts 75 Zum Auskunftsanspruch der DSGVO im arbeitsrechtlichen Kontext anhand des Urteils des Landesarbeitsgerichts Baden-Württemberg

Der Prüfling — Allein zu Haus 82

Zur datenschutzrechtlichen Rechtmäßigkeit von Maßnahmen im Zuge von Home-Klausuren

Ins Wasser gefallen 93

Privacy Shield für Datenübermittlungen über den Atlantik in die USA ungültig

In 90 Tagen zur Verschlüsselung –

der Wettlauf des Eric S. Yu 100

Zu den Änderungen von „Zoom“ nach Ablauf des 90-Tage- Plans zur Verbesserung des Datenschutzes

Schwamm drüber, Google 116

Neue Urteile zum Recht auf Vergessenwerden

O ihr gnadenbringenden Standarddatenschutzklauseln 131 Die Europäische Kommission legt einen Entwurf

neuer Standarddatenschutzklauseln vor und die Datenschutzgemeinde fragt sich: „Ja, ist denn heut`

schon Weihnachten“?

Morgen, Kinder, wird’s was geben 135

Die Möglichkeit einer Vergabe von Zertifizierungen nach Art. 42 DSGVO rückt näher

(No) Return to Sender 138

Auskunftsanspruch aus Art.15 DSGVO umfasst nicht eigene E-Mails

Domainrecht

Admin-C – Sag beim Abschied leise Servus 54 Zur haftungsrechtlichen Verantwortung des Admin-C

nach dem Inkrafttreten der DSGVO

Erbrecht

Der lange Weg zum letzten Willen 125

BGH-Urteil zu Facebooks Umgang mit digitalem Nachlass

(9)

Hochschulrecht

Solange du deine (virtuellen) Füße unter meinen

(digitalen) Tisch stellst… 132

Informationsrecht

Sag mir deinen Namen und ich sag dir, was du bist 66 LG Berlin zu Auskunftsansprüchen wegen Beleidigung auf Social Media-Plattformen

Markenrecht

Du warst mir ja ´ne Marke! 115

Zum markenrechtlichen Schutz des Begriffs „Webinar“

Strafrecht

Telekommunikationsrecht

Und täglich grüßt der Datenschutz… 127

Bundesverfassungsgericht entscheidet wieder zur Bestandsdatenauskunft

Urheberrecht

First Rule: You Do Not Talk About Uploadfilter! 26 Die ungefilterte Wahrheit über Artikel 17 DSM-RL

Vergriffen heißt nicht vergessen 30

Neuregelung der vergriffenen Werke nach der EU-Urheberrechtsrichtlinie

Ausgeknipst! 44 Ende des Schutzes für Reproduktionsfotografien

durch Art. 14 DSM-RL

(10)

Der BGH und sein letztes Wort zum

Reformistischen Aufbruch 79

Der BGH konkretisiert das Verhältnis von Grundrechten zum Urheberrecht

Lädst du noch oder filterst du schon? 96 Von einem Diskussionsentwurf zur Umsetzung des

Art. 17 DSM-RL, der zu neuen Diskussionen anregt

Verwaltungsrecht

Solange du deine (virtuellen) Füße unter

meinen (digitalen) Tisch stellst… 128

(11)

AEUV Vertrag über die Arbeitsweise der Europäischen Union AGB Allgemeine Geschäftsbedingungen

AGG Allgemeines Gleichbehandlungsgesetz ArbG Arbeitsgericht ArbStättV Arbeitsstättenverordnung AVV Auftragsverarbeitungsvertrag BAG Bundesarbeitsgericht

BayDSG Bayerisches Datenschutzgesetz BeamtenVG Beamtenversorgungsgesetz BetrVG Betriebsverfassungsgesetz BDS Berkeley Software Distribution BDSG Bundesdatenschutzgesetz BGB Bürgerliches Gesetzbuch BGH Bundesgerichtshof

BMJV Bundesministerium der Justiz und für Verbraucherschutz BPersVG Bundespersonalvertretungsgesetz

BPO Business Practice Office BNetA Bundesnetzagentur

BVerfG Bundesverfassungsgericht BYOD Bring your own device

DAkkS Deutsche Akkreditierungsstelle Deauth-Paket Deauthentication-Pakete

DENIC Deutsches Network Information Center

DNS Domain Name System

DPA Zoom Global Data Processing Addendum DPMA Deutsches Patent- und Markenamt DS-RL Datenschutz-Richtlinie

2. DSAnpUG Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz DSG NRW Datenschutzgesetz Nordrhein-Westfalen

DSGVO Datenschutz-Grundverordnung DSK Datenschutzkonferenz

DSM-RL EU-Urheberrechtsrichtlinie EC-RL E-Commerce-Richtlinie

EDSA Europäischer Datenschutzausschuss eG eingetragene Genossenschaft

elDAS-VO Elektronische-Transaktionen-VO ePrivacy-RL ePrivacy-Richtlinie

ePricacy-VO ePrivacy-Verordnung ErwGr Erwägungsgrund

EU Europäische Union

EuGH Europäischer Gerichtshof FOSS Free and Open Source Software

(12)

HG NRW Hochschulgesetz NRW

HU Humboldt-Universität zu Berlin

ICANN Internet Corporation for Assigned Numbers IPS Intrusion Prevention System

KBS Konformitätsbewertungsstelle KG Kammergericht

KUG Kunsturheberrechtsgesetz LAG Landesarbeitsgericht LDSG Landesdatenschutzgesetz

LDSG BW Landesdatenschutzgesetz Baden-Württemberg LG Landgericht

MarkenG Markengesetz

MOOCS Massive Open Online Cources NetzDG Netzwerkdurchsetzungsgesetz NHG Niederländisches Hochschulgesetz

OER Open Education Resources

OLG Oberlandesgericht

Privacy Shield Durchführungsbeschluss (EU) 2016/1250 der Kommission über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes RL 95/46/EG Datenschutz-Richtlinie aus dem Jahr 1995

RStV Rundfunkstaatsvertrag SIEM-Systeme Event Management-Systeme StGB Strafgesetzbuch

Tech-C Technischer Kontakt TKG Telekommunikationsgesetz TMG Telemediengesetz

UrhDaG Urheberrechts-Diensteanbieter-Gesetz UrhG Urheberrechtsgesetz

UrhWissG Urheberrechts-Wissensgesellschafts-Gesetz UWG Gesetz gegen den unlauteren Wettbewerb VG Verwaltungsgericht VGG Verwertungsgesellschaftsgesetz VwVG Verwaltungs-Vollstreckungsgesetz VwVfG Verwaltungsverfahrensgesetz

WIPO Weltorganisation für geistiges Eigentum Zone-C Zonenverwalter

(13)

I. Aktueller Anlass

Die Corona-Krise zeigt sich als unfreiwilliger Treiber der Digi- talisierung an deutschen Bildungseinrichtungen. Statistiken weisen bereits jetzt eine signifikante Zunahme der Nutzung von Education Apps, wie „Anton“, „Google Classroom“,

„Kahoot“ oder „moodle“. Während diese Zunahme vor allem auf eine verstärkte Nutzung durch die Schulen in Folge der Schulschließungen zurückzuführen ist, stehen den Universi- täten und Hochschulen die größten Herausforderungen erst noch bevor. Mit der bundesländerübergreifenden Verschie- bung des Sommersemesters 2020 hat man sich aber etwas Luft verschafft, die internen Kommunikationsinfrastrukturen für die digitale Ausbringung der Lehre vorzubereiten.

In der aufgeheizten Debatte sollte man sich aber vergegen- wärtigen, dass Distance Learning sowohl rechtlich als auch technisch kein neues Phänomen ist, sondern bereits seit geraumer Zeit in unterschiedlichen Anwendungskontexten praktiziert wird. Dementsprechend ist der explodierende Bedarf nach Werkzeugen der digitalen Lehre eher ein Problem der technischen Kapazität als der rechtlichen Regulierung. Die Regularien des Urheberrechts greifen auch in Krisenzeiten, müssen aber die Frage beantworten, ob sie eine technologie- neutrale Antwort auf die aktuellen Herausforderungen geben können.

Social Distance Learning

Zur urheberrechtlichen Einordnung des Distance Learning

von Maximilian Wellmann

In Zeiten der Corona-Krise sind Bildungseinrichtungen gezwungen, Alternativen zur Präsenzlehre zu suchen. Schlagwörter wie Home Schooling, Distance Learning oder E-Learning laufen durch die Presselandschaft, ohne dass allerdings klar wäre, was sich genau hinter diesen Begriffen verbirgt. Auch das Urheberrecht hat in dieser Diskussion ein gewichtiges Wort mitzusprechen, wenn es darum geht den technischen Potentialen dieser Lehrmethode rechtliche Grenzen zu setzen. Grund genug sich die Vorschriften des Urheberrechtsgesetzes zum Themenkomplex der digitalen Lehre einmal vertieft anzuschauen.

II. Systematik des Urheberrechts

Das Urheberrecht schützt Werke und verwandte Schutzge- genstände. Schutzfähig ist ein Werk, wenn es eine persön- lich-geistige Schöpfung ist, § 2 Abs. 2 Urheberrechtsgesetz (UrhG). § 2 Abs. 1 Nr. 1-7 UrhG sieht einen Beispielskatalog verschiedener Werkarten vor, die aber allesamt dem einheit- lichen Schutzerfordernis der persönlich-geistigen Schöpfung verpflichtet sind. Urheber ist dabei der Schöpfer des Werkes gemäß § 7 UrhG. Die Frage wann eine persönlich-geistige Schöpfung vorliegt, ist komplex und nur im Einzelfall fest- zustellen. Es werden aber nicht nur Werke der Hochkultur, sondern auch vergleichsweise profane Gestaltungen wie Adressbücher oder Telefonbücher geschützt. Mindestvoraus- setzung ist aber immer eine schöpferische Eigentümlichkeit, Originalität oder Individualität, die in der betreffenden Gestal- tung zum Ausdruck kommen muss.

Liegt ein Werk im Sinne des Urheberrechts vor, schützt das Urheberrecht den Urheber in seiner persönlichen Bezie- hungen zum Werk und in der Nutzung des Werks (vgl. § 11 UrhG). Geschützt werden neben den ideellen Interessen des Urhebers (z. B. die Nennung des Urhebers, §§ 12-14 UrhG) auch seine materiellen Interessen (§§ 15-24 UrhG). Diese materiellen Verwertungsrechte schützen u.a. das ausschließliche Recht zur Vervielfältigung (§ 16 UrhG), das Verbreitungsrecht (§ 17 UrhG), das Recht zur öffentlichen Zugänglichmachung

(14)

(§ 19a UrhG) oder das Recht zur öffentlichen Wiedergabe in sonstiger Weise (§ 15 Abs. 2 i.V.m. §§ 19-22 UrhG). Hiernach kann der Urheber allein entscheiden, wer sein Werk in welchem Umfang und zu welchen Konditionen nutzen darf. In der Praxis erfolgt seitens des Urhebers oftmals die Übertragung eines ausschließlichen Nutzungsrechts. Für eine wissenschaftliche Publikation wird hier regelmäßig einem Verlag ein ausschließ- liches Nutzungsrecht eingeräumt, welches diesen ermächtigt, die kommerzielle Verwertung des Werkes vollumfänglich zu übernehmen. Ein potentieller Nutzer ist danach aufgerufen mit dem Verlag einen Lizenzvertrag zu verhandeln, bei dem sich die Parteien über Umfang und die Vergütung der beab- sichtigten Nutzung des Werkes einig werden müssen. Solche Lizenzvereinbarungen können mitunter lange Verhandlungen nach sich ziehen und müssen auch nicht zwingend zum Erfolg führen, wenn sich der Rechteinhaber (Verlag) entschließt im Rahmen seiner Vertragsfreiheit von einem Vertragsabschluss abzusehen. Die Erteilung von Lizenzen folgt allerdings nicht in jedem Fall dem schwerfälligen Weg der bilateralen Nutzungs- rechteeinräumung, sondern kann auch über deutlich prakti- kablere Formen wie zum Beispiel im Wege von Open Content (Wikipedia) geschehen. Im Rahmen einer solchen öffentlichen Lizenz dürfen je nach Ausgestaltung alle urheberrechtlich geschützten Inhalte kostenlos verbreitet, kopiert oder bearbeitet werden. Eine Open Content Lizenz enthält aber auch Pflichten, wie beispielsweise den Namen des Urhebers bei der Weiterverbreitung zu nennen. Wird gegen diese Pflichten verstoßen, führt dies zum Erlöschen der Lizenz und der urhe- berrechtswidrigen Nutzung des Werkes. Eine besondere Form der öffentlichen Lizenzen stellen sog. Open Educational Resources (OER) dar. Dies sind Lern- und Lehrmaterialien, die unter einer Open-Content Lizenz zur freien Verfügung gestellt werden.

Dass das beschriebene umfassende Nutzungs- und Verbots- recht des Urhebers einen Interessenkonflikt mit den Nutzern hervorruft, liegt auf der Hand. Der Gesetzgeber hat deshalb für besonders schutzwürdige Belange der Allgemeinheit Ausnah- mebestimmungen erlassen (sog. Schranken), die die Nutzung eines Werks auch ohne Abschluss eines Lizenzvertrags erlauben. Hierzu zählen die für die Belange der Lehre relevante Schranke der Zitatfreiheit (§ 51 UrhG) und die Schranke für Unterricht und Lehre (§ 60a UrhG).

III. Urheberrechtliche Einordnung des Distance Learning

Mit der flächendeckenden Umstellung der Präsenzlehre auf Distance Learning gehen eine Reihe praktischer Fragen einher.

Zu diskutieren ist, ob der Upload von Vortragsfolien, Vorle- sungsaufzeichnungen oder Materialen zur Vor- und Nachberei- tung in ein Lernmanagementsystem aus der Perspektive des Urheberrechts zulässig ist. Zu fragen ist darüber hinaus, wie die Durchführung von Live-Vorlesungen und das zur Verfügung stellen digitaler Exzerpte von Texten zum Zwecke der Anferti- gung von Studien- oder Abschlussarbeiten im Sinne des Urhe- berrechts zu beurteilen ist.

Um die urheberrechtliche Einordnung des Distance Learning vornehmen zu können, ist es zunächst notwendig festzu- stellen, was das Urheberrecht überhaupt unter diesem Begriff versteht. Mit der Novellierung des Urheberrechtsgesetz durch das Urheberrechts-Wissensgesellschafts-Gesetz (UrhWissG) hat der Gesetzgeber ein Begriffsverständnis des Distance Learning offenbart, wonach er hierunter den gesamten Fernun- terricht über das Internet erfasst (vgl. BT-Drucks, 18/12329, 36).¹ Die Darstellung fremder Grafiken, Texte, Fotografien oder Zeichnungen aus Lehrbüchern, Zeitschriften oder sonstigen Quellen in Vortragsfolien, Vorlesungsaufzeichnungen oder Materialien zur Vor-und Nachbereitung können eine Urheber- rechtsverletzung darstellen. In Betracht kommt hier eine Verlet- zung des Vervielfältigungsrechts, des Verbreitungsrechts, des Rechts auf öffentliche Zugänglichmachung oder des Rechts zur öffentlichen Wiedergabe in sonstiger Weise. Im Urheber- recht ist aber seit jeher die Frage umstritten, wann überhaupt eine Öffentlichkeit vorliegt. Die Beantwortung hat erhebliche praktische Konsequenzen, da sofern schon keine Öffentlich- keit vorliegt, auch keines der benannten Ausschließlichkeits- rechte des Urhebers verletzt sein kann. In der Konsequenz darf der Nutzer ein fremdes Werk in einem solchen Fall frei nutzen.

Im Referentenentwurf zum UrhWissG war hier noch die Rede von regelmäßig zusammen unterrichteten Gruppen, wie zum Beispiel Referendaren in Seminargruppen, die keine Öffent- lichkeit darstellen. Dieser Passus ist aber gestrichen worden und die Beurteilung der Frage somit weiterhin den Gerichten im jeweiligen Einzelfall vorbehalten. Es ist deshalb Vorsicht geboten und im Zweifel von einer öffentlichen Wiedergabe oder Zugänglichmachung des Werkes auszugehen, wenn dieses in ein Lernmanagementsystem hochgeladen wird.

1 Siehe hierzu Mörike, Es ist vollbracht!, DFN-Infobrief Recht 8/2017.

(15)

Sofern keine Lizenz vorliegt, bedarf es einer gesetzlichen Schrankenbestimmung, um eine urheberrechtswidrige Nutzung auzuschließen. Werden dabei in Vorlesungsfolien oder Skripten Zitate aus einem Fremdwerk zur Erläuterung des (eigenen) Inhalts verwendet, wird diese Nutzung des fremden Werks schon regelmäßig durch die Schranke der Zitatfreiheit aus § 51 S. 1 UrhG gedeckt sein. Eine Nutzung einzelner Zitate ist nach dem UrhG erlaubnis- und vergütungs- frei. Dasselbe dürfte für Vorlesungsfolien gelten, die Zitate fremder Werke enthalten und die via Distance Learning für das Auditorium mittelbar wahrnehmbar sind. Anders gelagert ist der Sachverhalt aber, wenn es zur Verwendung von Videos oder Abbildungen in der Vorlesungsaufzeichnung kommt. Hier ist die Zitatfreiheit nicht einschlägig. Auch der Upload von Texten in ein Lernmanagementsystem zur Vor- und Nachberei- tung von Vorlesungen, sowie die Erstellung digitaler Exzerpte fallen nicht in den Anwendungsbereich des § 51 UrhG. In allen Varianten ließe sich eine erlaubnisfreie Nutzung nur über

§ 60a UrhG begründen.

IV. § 60a UrhG – Schranke für Unterricht und Lehre

§ 60a UrhG sieht eine Schranke für Unterricht und Lehre vor.

Zur Veranschaulichung des Unterrichts und der Lehre an einer Bildungseinrichtung ist es danach erlaubt, dass ein veröffent- lichtes Werk zu nicht-kommerziellen Zwecken im Umfang von 15% vervielfältigt (kopiert), verbreitet, öffentlich zugänglich gemacht oder in sonstiger Weise öffentlich wiedergegeben werden darf. Der Begriff der Lehre erfasst danach sämtliche Lehrveranstaltungen an Universitäten, Fachhochschulen und sonstigen Hochschulen, wie zum Beispiel Seminare und Vorle- sungen sowie deren Vor- und Nachbereitung. Die Lehre muss nach der Definition des § 60 Abs. 4 UrhG an einer Bildungsein- richtung stattfinden, wozu wiederum alle Universitäten, Fach- hochschulen und sonstige Hochschulen zu zählen sind.

Damit ist aber noch keine Aussage getroffen, ob § 60a UrhG – technologieneutral – auch die bezeichneten Nutzungs- handlungen im Wege des Distance Learning privilegiert. Die Gesetzesbegründung stellt hierzu aber glücklicherweise fest, dass durch § 60a UrhG auch der Fernunterricht über das Internet erfasst wird, zum Beispiel Vorlesungen im Rahmen sog. massive open online courses (MOOCS) (BT-Drucks, 18/12329, 36). Das heißt in der praktischen Konsequenz, dass die Schranke des

§ 60a UrhG sowohl für die Nutzung eines geschützten Werkes im Fernunterricht als auch in der Präsenzlehre Anwendung findet. Im Anwendungsbereich des § 60a UrhG können damit im Rahmen des Distance Learning fremde Werke, die in Vorle- sungen wiedergegeben werden, unter den weiteren Voraus- setzungen des § 60a UrhG einem berechtigten Personenkreis erlaubnisfrei zur Verfügung gestellt werden.

Zu den weiteren Voraussetzungen zählen, dass die Nutzung der Werke nur in nicht-kommerzieller Form für Lehrende und Teilnehmer der jeweiligen Veranstaltung erfolgen darf. Das heißt Vorlesungsmaterialien, die urheberrechtlich geschützte Werke enthalten, sind an Teilnehmer desselben Kurses oder derselben Projektgruppe zu adressieren und nicht frei zugäng- lich im Lernmanagementsystem der Bildungseinrichtung oder gar auf YouTube zu veröffentlichen. Ein Upload in eine hochschul- oder fakultätsweit zugängliche Plattform kann aber dann erfolgen, wenn Zugangssperren geschaffen werden (Matrikelnummer, Passwörter) mit denen sichergestellt wird, dass nur Teilnehmer des jeweiligen Kurses Zugriff erhalten.

Das System ist dabei technisch so anzupassen werden (z. B.

mittels Zwei-Faktor-Authentifizierung), dass missbräuchliche Umgehungen, wie die Weitergabe von Passwörtern, auf ein Minimum reduziert werden.

Eine weitere entscheidende Voraussetzung ist die Beschrän- kung des Umfangs auf 15% des gesamten Werkes. Die erlaubten Nutzungshandlungen sind nur dann zustimmungsfrei, wenn sie die Obergrenze von 15% eines veröffentlichten Werkes nicht überschreiten. Für Bücher orientiert sich die Bezugsgröße der 15% am Gesamtumfang des Werkes, einschließlich des Inhalts- verzeichnis, des Vorwort, etc. Eine wichtige Ausnahme hiervon sieht aber § 60a Abs. 2 UrhG vor, der die Übernahme ganzer Werke gestattet. Nach § 60a Abs. 2 UrhG gilt die Obergrenze von 15% nicht für Abbildungen, Werke geringen Umfangs und vergriffene Werke. Unter Abbildungen fallen nach der Geset- zesbegründung Fotografien und grafische Darstellungen (BT-Drucks, 18/12329, 35). Das Zeigen von Abbildungen in Vorle- sungsfolien oder deren mittelbare Wiedergabe im Wege des Fernunterrichts (z.B. Power Point in einer Vorlesung) ist danach uneingeschränkt zulässig. Auch für Werke geringen Umfangs hält die Gesetzesbegründung Konkretisierungen bereit. Als Obergrenze des geringen Umfangs gelten hier für Druckwerke 25 Seiten, für Noten 6 Seiten, für Filme 5 Minuten und für Musik 5 Minuten (BT-Drucks, 18/12329, 35). Diese können also für die Lehre vollständig kopiert oder im Wege des Distance

(16)

Learning öffentlich wiedergegeben bzw. zum Abruf zugäng- lich gemacht werden. Über die Ausnahme der Werke geringen Umfangs können zudem auch einzelne Aufsätze oder Artikel aus derselben Fachzeitschrift kopiert werden, um diese den Teilnehmern der Lehrveranstaltung digital zur Vor- und Nach- bereitung der Vorlesung zur Verfügung zu stellen. Für sonstige Zeitungen (Tagespresse) oder Zeitschriften bleibt es allerdings beim 15% Erfordernis. Auch die Anfertigung digitaler Exzerpte analog vorliegender Schriftwerke zum Zwecke von Haus- oder Studienarbeiten hat dementsprechend das 15% Erfordernis zu beachten, soweit es sich nicht um ein Werk geringen Umfangs handelt. Nicht in den Anwendungsbereich der Schranke fällt der Mitschnitt von öffentlichen Aufführungen eines Werkes (z. B. Aufnahme oder Streaming eines Konzerts) und die anschließende Zugänglichmachung für Teilnehmern einer Lehrveranstaltung (§ 60a Abs. 3 Nr. 1 UrhG).

Liegen die Voraussetzungen des § 60a UrhG vor, ist die Nutzung fremder Werke erlaubnisfrei gestattet. Die Nutzung ist allerdings gemäß § 60h Abs. 1 UrhG zu vergüten. Dies gilt aber nicht, wenn die öffentliche Wiedergabe des fremden Werkes für Angehörige von Bildungseinrichtungen im Wege des Fernunterrichts (Vorlesung/Vorlesungsaufzeichnung) erfolgt (§ 60h Abs. 2 Nr. 1 UrhG). Umgekehrt ist allerdings das öffent- liche Zugänglichmachen eines Werkes, also die Gestattung des Abrufs im Lernmanagementsystem, vergütungspflichtig.

V. Fazit

Das Urheberrecht hält auch in diesen schwierigen Zeiten pragmatische Lösungen bereit. Als glücklichen Zufall kann man es bezeichnen, dass der Gesetzgeber mit der Novellie- rung des Urheberrechts im Jahr 2018 die Schranke für Lehre und Unterricht fit gemacht hat für die fortschreitende Digi- talisierung des Bildungssektors. So können Lehrende von Universitäten und Hochschulen erst einmal aufatmen. Ihnen steht im Urheberrecht mit dem § 60a UrhG eine gesetzliche Schranke zur Seite, die es ermöglicht, unter den genannten Voraussetzungen auf urheberrechtlich geschützte Werke im Rahmen der Lehre erlaubnisfrei zuzugreifen. Die Schranke des

§ 60a UrhG zeigt sich hier technologieneutral und differenziert nicht zwischen dem Gebrauch fremder Werke im Rahmen der Präsenzlehre oder im Wege des Distance Learning. Das entlässt die Hochschulen aber nicht aus der Verantwor- tung in technisch angemessener Weise auf die Erfordernisse

des § 60a UrhG einzugehen. Auch für Bibliotheken hält der

§ 60a UrhG eine klare Regelung zur Anfertigung und Bereitstel- lung digitaler Exzerpte von wissenschaftlichen Schriftwerken bereit. Hier gilt es Lösungen zu entwickeln, die den Vorausset- zungen des Urheberrechts Rechnung tragen, gleichzeitig aber Möglichkeiten für Studierende eröffnen, ihre Studien- oder Abschlussarbeiten auch in Zeiten geschlossener Bibliotheken fristgerecht fertigstellen zu können.

(17)

Corona is calling

Datenschutzrechtliche Probleme bei der Auswahl und Benutzung von Videokonferenzprogrammen für den Arbeits- und Hochschulalltag

von Nicolas John

In Tagen, in welchen „social distance“ zum guten Umgang miteinander gehört, Homeoffice für viele den Alltag darstellt und auch Hochschulen ihre Lehrveranstaltungen über das Internet stattfinden lassen, müssen viele Standardprozeduren neu erfunden werden. Dies gilt auch für den Hochschulalltag. Um die Arbeitsprozesse weiterhin am Laufen zu halten, finden sich zahl- reiche Programme, die Videokonferenzen in unterschiedlichen Formen ermöglichen. Doch auch in Anbetracht der besonderen Umstände ist mit Umsicht an dieses Thema heranzugehen. Denn Datenschutz und -sicherheit machen auch vor Pandemien nicht halt.

I. Hintergrund

Für Videokonferenzprogramme gibt es mittlerweile eine breite Auswahl. Neben bekannten Namen wie Skype, MS-Teams, Slack, Zoom und GoToMeeting finden sich vielfältige weitere Angebote, welche Videotelefonie zwischen zwei oder mehr Teilnehmern ermöglichen. Das Ziel ist immer dasselbe: Kommu- nikation über die Distanz. Jedoch verbergen sich viele Unter- schiede im Aufbau und der Datenverarbeitung des Programms oder der Datenverarbeitung durch den Softwarehersteller.

Weil bei der Verwendung der Software personenbezogene Daten im Sinne des Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) verarbeitet werden, ist schon bei der Auswahl und Einrichtung der Software wichtig, sich über die Datensicher- heit als auch über die Datenverarbeitung umfassend zu informieren. Ebenso muss bei der anschließenden Verwendung stets darauf geachtet werden, dass das allgemeine Persönlich- keitsrecht der Nutzer nicht zu kurz kommt. Im Folgenden soll auf einige Problempunkte eingegangen werden, welche bei der Auswahl und der Benutzung von Videokonferenzsoftware zu beachten sind.

II. DSGVO-konforme Verarbeitung

Die DSGVO-konforme Verarbeitung der Daten spielt schon bei der Auswahl der Software eine Rolle. Hier hat man zunächst die Wahlmöglichkeit zwischen einer Software, welche den Service von den eigenen Servern hostet oder einer, welche mithilfe der Server des Software-Anbieters genutzt wird.

Vorteil der Nutzung von eigenen Servern ist die selbstständige Verwaltung der u. a. personenbezogenen Daten. Doch hier fehlen meist die entsprechenden Strukturen und Ressourcen.

Soweit der Service eines Anbieters genutzt wird, ist eine Auftragsverarbeitung der personenbezogenen Daten gemäß Art. 28 Abs. 1 DSGVO zu prüfen. Danach ist sicherzustellen, dass bei einer Verarbeitung der Daten durch einen Dritten die Einhaltung der Vorschriften der DSGVO vom Verantwortlichen gewährleistet wird. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei der Verarbeitung der Daten durch einen Dritten ist ein Auftragsverarbeitervertrag (AVV) zwischen dem Verantwortlichen und dem Auftragsverarbeiter i.S.d. Art. 28 Abs. 3 S. 1 DSGVO abzuschließen.¹ Dieser bindet den

1 Vertiefend zum AVV: Mörike, Im Auftrag des Verant- wortlichen, DFN-Infobrief Recht 4/2019.

(18)

Auftragsverarbeiter in Bezug auf den Verantwortlichen und legt Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen fest.

Bei der Auswahl des Software-Anbieters ist hinsichtlich der Einhaltung der Vorschriften der DSGVO zu empfehlen denje- nigen vorzuziehen, welcher seinen Sitz innerhalb der EU hat.

Denn gemäß Art. 44 DSGVO ist grundsätzlich die Einhaltung des Schutzniveaus der DSGVO auch bei einer Datenverarbeitung im Ausland einzuhalten. Bei der Wahl eines Software-Anbieters mit Sitz in der EU unterfällt dieser selbst den Regelungen der DSGVO, wodurch die Auftragsverarbeitung dem Schutzniveau des Art. 28 Abs. 1 DSGVO in den meisten Fällen gerecht wird.

Die größten und populärsten Anbieter haben ihren Sitz jedoch im EU-Ausland, zumeist den USA, wodurch sie nicht dem Anwendungsbereich der DSGVO unterfallen. Doch beschei- nigt in diesem Fall das angemessene Datenschutzniveau das Privacy-Shield-Zertifikat, welches einzelnen Softwareherstel- lern verliehen wird. Es ist aber darauf hinzuweisen, dass der Austausch von Daten unter dem Privacy-Shield momentan Gegenstand eines laufenden Verfahrens vor dem Europäi- schen Gerichtshof (EuGH Schrems II, Rs. C-311/18) ist und die Wirksamkeit in Frage gestellt wird. Der Ausgang des Verfah- rens ist daher abzuwarten. Die bekanntesten Anbieter aus den USA verfügen über ein solches Zertifikat.

Ebenfalls sollte die Datensicherheit i.S.d. Art. 32 DSGVO schon bei der Auswahl des Videokonferenzprogramms beachtet werden. Hier ist auf Verschlüsselung und andere Datensiche- rungsmaßnahmen des Anbieters zu achten. Für diese Schutz- standards gibt es entsprechende Zertifizierungen, welche die Sicherheit bescheinigen.

III. Datenschutzrechtliche

Problembereiche bei der Verwendung

Auch bei der Verwendung der Software ist darauf zu achten, dass der Datenschutz durch Technikgestaltung und durch so datenschutzfreundliche Voreinstellungen wie möglich garantiert werden soll, vgl. Art. 25 DSGVO. Aus diesem Grund sollte beachtet werden, dass für Dienste, die für den privaten Gebrauch gedacht sind (wie z.B. WhatsApp oder FaceTime),

Einstellungsmöglichkeiten meist nicht umfangreich gewähr- leistet werden und eine Einhaltung der DSGVO nicht immer sichergestellt werden kann. Soweit eine professionelle Soft- ware-Variante angeboten wird, ist der Administrator mit dieser in der Lage, die Einstellungen entsprechend vorzunehmen.

Vor diesem Hintergrund ist auch jede der unterschiedlichen Programmfunktionen genau zu überprüfen und es gilt zu hinterfragen, ob die Verwendung erforderlich ist. Sämtliche Aufnahme-, Beobachtungs-, Protokoll- oder Trackingfunkti- onen sind daher einer gewissenhaften Prüfung zu unterziehen, zu welchem (datenschutzrechtlich) legitimen Zweck eine Funktion benötigt wird und ob die Funktion hierzu geeignet ist. Wenn dies der Fall ist, ist zu prüfen, ob andere daten- schutzfreundlichere Möglichkeiten existieren, um den Zweck ebenfalls zu erreichen. So mag beispielsweise die digitale Aufzeichnung eines Prüfungsgesprächs sinnvoll erscheinen, doch wird meistens – wie im normalen Prüfungsgespräch auch – die im analogen angewandte Protokollierungsart ausrei- chend sein. Sollte die Erforderlichkeit einer Funktion bejaht werden, kann entschieden werden, unter welchen Umständen die Funktion zu verwenden ist.

Soweit durch eine Funktion personenbezogene Daten i.S.d.

Art. 4 Nr. 1 DSGVO durch den Verantwortlichen verarbeitet werden, muss geprüft werden, ob diese Verarbeitung gemäß Art. 6 Abs. 1 DSGVO rechtmäßig ist. Hierbei müssen alle Umstände des Einzelfalls beachtet werden. So ist davon auszugehen, dass beispielsweise die Aufnahme von Videokonferenzen der Einwilligung der Teilnehmer i.S.d. Art. 6 Abs. 1 S. 1 lit. a) DSGVO bedarf.² Diese muss vorher von jedem Betroffenen eingeholt werden, nachdem dieser umfassend über die Art der Datenver- arbeitung informiert worden ist. Im Übrigen muss die Einwil- ligung freiwillig erteilt werden. Gerade die Freiwilligkeit wird man in Beschäftigungsverhältnissen und Prüfungsgesprächen mit Studierenden aufgrund des Abhängigkeitsverhältnisses im Einzelfall besonders kritisch bewerten müssen. Zudem ist hervorzuheben, dass die Einwilligung jederzeit vom Betrof- fenen widerrufen werden kann. In einem solchen Fall muss es möglich sein, das Gespräch abzubrechen.

Im Übrigen sollte die Erstellung von Logfiles ebenfalls nur soweit unbedingt erforderlich vorgenommen werden. Das

2 Vertiefend zur Einwilligung: Fischer, Ja, ich will!, DFN-Infobrief Recht 3/2020; Mörike, Anweisung vom Chef: Willige ein!, DFN-Infobrief Recht 2/2019.

(19)

wird regelmäßig zur Fehlerbehebung durch den Softwareher- steller der Fall sein – die erstellten Logfiles dürfen dann aber auch nur zu diesem Zweck verwendet werden und sind zu löschen, wenn die Probleme behoben sind.

Gleiches gilt für Chatverläufe und während der Konferenz hochgeladene Dateien. Auch sie sind nur solange wie notwendig zu speichern. Wenigstens ein paar Stunden nach der Beendigung der Konferenz dürfte dieser Zeitraum abgelaufen sein.

Neben den datenschutzrechtlichen Problempunkten müssen ebenso datensicherheitstechnische Aspekte bedacht werden.

Gemäß Art. 32 DSGVO trifft den Verantwortlichen die Pflicht, bei der Verarbeitung personenbezogener Daten ein angemessenes Schutzniveau nach dem Stand der Technik zu gewähr- leisten. Daher sollten Sicherheitsfeatures der verwendeten Software, wie beispielsweise Verschlüsselung der Daten, Passwortschutz der Konferenzräume und Beitrittsmöglich- keit durch Einladung umfassend analysiert und verwendet werden.

Auch ist darauf hinzuweisen, dass vor der Einrichtung der Software individuell zu prüfen ist, ob die Zustimmung des Personalrates nach dem einschlägigen Landespersonalrats- gesetz an den Hochschulen erforderlich ist. Denn Video- konferenzsoftware bietet nach herrschender Meinung die Möglichkeit zur Überwachung der Mitarbeiter durch Proto- kolle, Chatverläufe und ähnliches und erfordert damit die Zustimmung des Betriebsrates in Unternehmen gemäß

§ 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG).³

Daneben muss, soweit nötig, die Datenschutzerklärung entsprechend der verwendeten Dienste angepasst und den Nutzern der Dienste bereitgestellt werden.

IV. Fazit

Auch wenn die Corona-Pandemie bei den meisten den Arbeitsalltag kurzerhand auf den Kopf gestellt hat, darf dies nicht bedeuten, dass Datenschutz bei der Einrichtung alter- nativer Kommunikationsmodelle ignoriert wird. In der Konse- quenz ergeben sich viele verschiedene Problembereiche, welche bedacht werden müssen. Gerade bei der Umstellung des Lehrbetriebs auf Vorlesungsstreams und Prüfungsge-

3 Hierzu auch Leinemann, Nicht ohne meinen Betriebsrat, DFN-Infobrief Recht 2/2018.

spräche über Videotelefonie, sollte die Situation vorher genau analysiert werden. Zudem sollte sich der Verwender der Software bewusst sein, dass ein Softwarefeature datenschutzrechtlich möglicherweise in Ordnung ist, jedoch bei den Betroffenen kein Vertrauen wecken kann. Überwachungsfunk- tionen wie das Aufmerksamkeitstracking bei Zoom sorgen in diesem Kontext immer wieder für kritische Schlagzeilen.

Doch ist die gewissenhafte Einrichtung der Videokonferenz- programme eine gute Investition in die Zukunft. Denn trotz der datenschutzrechtlichen Anforderungen bieten die verschiedenen Plattformen vielzählige nützliche und zulässige Funk- tionen, welche den Arbeits- und Lehrbetrieb aufrechterhalten können. Nicht nur in Zeiten von Corona, sondern auch darüber hinaus können auf diese Art und Weise langfristig Arbeitsab- läufe über Distanz eingerichtet werden.

(20)

Der Feind in meinem Netz – Teil 1

Die Melde- und Benachrichtigungspflichten aus Artikel 33, 34 DSGVO im Zusammenhang mit Emotet-Angriffen

von Steffen Uphues

Eine kleine Quizfrage zu Beginn: Was haben die Stadtverwaltung Frankfurt am Main, das Kam- mergericht (KG) Berlin, die Humboldt-Universität (HU) Berlin und die Heise-Gruppe gemeinsam?

Korrekt: Sie alle waren zuletzt – den bisherigen Erkenntnissen bzw. Vermutungen zufolge – Betroffene eines Emotet-Angriffs. In diesem Beitrag und dem auf Seite 33 folgenden zweiten Teil soll dargestellt werden, wie sich ein Emotet-Angriff vollzieht, unter welchen Voraussetzungen der datenschutzrechtlich Verantwortliche einer Meldepflicht nach Art. 33 DSGVO unterliegt (hierzu Teil 1), wie der Meldepflicht nachzukommen ist, wann die betroffene Person gemäß Art. 34 DSGVO zu benachrichtigen ist und welche Konsequenzen die Emotet-Angriffe für die Praxis wissenschaftlicher Einrichtungen beinhalten (hierzu Teil 2).

Sobald Emotet in ein Netz eingedrungen ist, werden in der Folge zumeist weitere Schadprogramme auf den PC nachge- laden. Bei dieser Schadsoftware handelt es sich unter anderem um „Trick-Bots“. Mit Hilfe dieser kann sich ein Eindringling Zugangsdaten beschaffen. Interessant wird dies für Eindring- linge im Zusammenhang mit Hochschulen und Forschungsein- richtungen vor allem dann, wenn die interne IT-Abteilung eine Verdachtsmeldung eines Nutzers erhält und sich im Rahmen der Untersuchung selbst an einem befallenen PC anmeldet.

Hierdurch kann der Eindringling Zugang zu den Daten der IT-Abteilung erhalten und in der Folge auch deren Befug- nisse nutzen, um etwa Daten zu löschen oder zu verändern.

Daneben breitet sich der Virus – sobald ein Netzwerk einmal befallen ist – vor allem über internen Mail-Verkehr schnell aus. Als weitere Schadsoftware kann beispielsweise noch ein Verschlüsselungs-Trojaner (z. B. Ryuk) installiert werden, um den Betroffenen zu einer Zahlung von Lösegeld zu bewegen.

So hat die Stadtverwaltung Alsfeld zu Beginn dieses Jahres nach einem Angriff ein Erpresserschreiben erhalten. Gegen einen Lösegeldbetrag, der in Bitcoin zu zahlen sei, würden verschlüsselte Daten wieder freigegeben werden. Vereinfacht ausgedrückt könnte man demnach sagen, dass Emotet gewis- sermaßen als „Türöffner“ fungiert, der den Einsatz weiterer Schadprogramme ermöglicht.

I. Wie funktioniert Emotet?

Bei Emotet handelt es sich um ein PC-Virenprogramm, das ursprünglich für den Einsatz im Bereich des Online-Bankings konzipiert wurde. Nach dem Durchlaufen mehrerer Evolutions- stufen ist das Programm mittlerweile in der Lage, authentisch erscheinende Mails zu versenden und sich hierdurch Zugang zu Netzen zu verschaffen. Diese verbesserte Vorgehensweise ermöglicht es, Informationen über das potentielle Opfer zu sammeln und dann eine personalisierte und authentisch wirkende Mail zu verschicken. Diese kann dann etwa mit einer Frage zu einem im Anhang befindlichen Dokument versehen sein. Im Fall der Heise-Gruppe war es beispielsweise so, dass ein Mitarbeiter eine Mail erhielt, die dem Anschein nach von einer Kollegin kam und mit der Bitte versehen war, eine angehängte DOC-Datei noch einmal zu überprüfen. Als er die Datei öffnen wollte, erschien die Meldung, dass die aktuelle Word-Version hierzu nicht in der Lage sei und er doch bitte auf

„Bearbeiten erlauben“ klicken solle. Dem kam der Mitarbeiter nach, wodurch der PC mit Emotet infiziert wurde. Sobald sich der Angreifer Zutritt zum Netzwerk verschafft hat, besteht die Gefahr, dass er Zugangsdaten abgreift oder an Kontakte des Betroffenen authentisch wirkende Mails verschickt, um weitere Konten zu befallen.

(21)

II. Aktuelle Emotet-Angriffe

In letzter Zeit werden immer wieder Emotet-Angriffe öffent- lich gemacht. Dabei sind die unterschiedlichsten Instituti- onen betroffen. Die Folgen der oben angesprochenen Angriffe hatten unterschiedliche Intensitäten; teilweise brachten sie für die Beteiligten verheerende Folgen mit sich. Bei der Stadtverwaltung Frankfurt am Main wurden zunächst die Amtsstuben geschlossen, da aus Sicherheitsgründen alle PCs heruntergefahren worden waren. Die Webseite der Stadt war jedoch relativ zügig wieder erreichbar und auch der Büro- betrieb konnte zeitnah wiederaufgenommen werden. Das KG Berlin wurde im letzten September zum Opfer einer Emotet- Attacke. Noch heute ist die Einrichtung lediglich telefonisch, mittels Fax oder über den Postweg zu erreichen – Mail-Kontakt mit dem Gericht ist nicht möglich.

Die HU Berlin war im letzten November Adressat eines Angriffs mittels Emotet. Der ganz große Kelch scheint jedoch an der Universität vorbeigegangen zu sein. Der Virus hatte wohl nur einen Bruchteil der Accounts befallen und die Handlungsfähig- keit der Einrichtung war nicht erheblich beeinträchtigt.

Schon zuvor – nämlich im letzten Sommer – war die Heise- Gruppe betroffen. Bemerkenswert ist, wie transparent das Unternehmen mit dem Angriff umgeht. Auf der eigenen Webseite findet sich hierzu ein langer Artikel sowie ein ausführliches Video-Interview zu dem Thema. Daneben bietet das Unternehmen auch Webinare an, um anderen Einrich- tungen beim Umgang mit Angriffen zu helfen und diesen vorzubeugen. Betroffene Einrichtungen konnten dadurch erste Erkenntnisse über den Umgang mit Emotet gewinnen.

III. Sinn und Zweck der Meldepflicht aus Art. 33 DSGVO

An verschiedenen Stellen legt die DSGVO dem Verantwort- lichen Pflichten auf. Art. 32 DSGVO verpflichtet den Verantwort- lichen etwa dazu, bei einer Datenverarbeitung ein dem Risiko angemessenes Schutzniveau zu gewährleisten; die Norm dient somit bezüglich des Schutzes personenbezogener Daten zur Prävention. Hieran knüpft Art. 33 DSGVO an und befasst sich mit der Frage, wie zu verfahren ist, sofern es zu einer Verlet- zung des Schutzes von personenbezogenen Daten gekommen ist. In Art. 33 Abs. 1 DSGVO ist für diesen Fall eine Meldepflicht

des Verantwortlichen an die zuständige Aufsichtsbehörde festgelegt, deren Vorliegen sich vor allem danach bestimmt, ob es voraussichtlich zu einem Risiko für die betroffene Person kommt.

Um den Sinn und Zweck der Meldepflicht aus Art. 33 DSGVO herauszustellen, bedarf es eines Blickes auf das Zusammen- spiel mit weiteren DSGVO-Normen: Die Einhaltung der durch die DSGVO getroffenen Regelungen zu überwachen und durchzusetzen, ist nach Art. 51 Abs. 1 DSGVO primäre Aufgabe der datenschutzrechtlichen Aufsichtsbehörden. Zur Erfüllung dieser Aufgabe darf sie sich der mannigfaltigen Befugnisse aus Art. 58 DSGVO bedienen. Diese Norm unterstützt die Arbeit der Aufsichtsbehörden, indem diesen zur Ermittlung von DSGVO-Verstößen verschiedene Maßnahmen gestattet werden. Insbesondere die Untersuchungsbefugnisse aus Art. 58 Abs. 1 DSGVO beabsichtigen, einer Informationsasym- metrie zwischen den Verantwortlichen und den Aufsichtsbe- hörden entgegenzuwirken. Dieselbe Zielrichtung verfolgt auch die Pflicht aus Art. 33 DSGVO. Das Wissen von einem möglichen Verstoß gegen Sicherheitsbestimmungen der DSGVO ist eine Grundvoraussetzung für die Aufsichtsbehörden, um gegen diese vorzugehen.

Die Meldepflicht soll jedoch nicht nur eine Sanktionierung des Verantwortlichen ermöglichen. Sie soll vielmehr auch präven- tive Wirkung entfalten. Nachdem eine Verletzung gemeldet wurde, können Gegenmaßnahmen getroffen werden, um zu verhindern, dass sich das Risiko für die Rechte und Freiheiten natürlicher Personen tatsächlich realisiert.

IV. Voraussetzungen der Meldepflicht

1. Verletzung des Schutzes personenbezogener Daten

Notwendige Voraussetzung für eine Meldepflicht des Verant- wortlichen ist zunächst eine Verletzung des Schutzes personenbezogener Daten. Eine solche wird in Art. 4 Nr. 12 DSGVO definiert als eine Verletzung der Sicherheit, die zur Vernich- tung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Schutzverletzung).

(22)

Eine solche Schutzverletzung ist auf Verletzungen der Sicher- heit beschränkt. Es geht somit um das Überwinden oder Missachten technischer Sicherheitsvorkehrungen. Eine rechtswidrige Datenverarbeitung stellt dagegen keine Verlet- zung im Sinne des Art. 4 Nr. 12 DSGVO dar – es handelt sich in einem solchen Fall also zwar um einen Verstoß gegen DSGVO- Regelungen zur Datenverarbeitung, die Meldepflicht aus Art. 33 DSGVO wird hier jedoch nicht ausgelöst.

Bei den personenbezogenen Daten kann es sich – anders als noch in § 42a BDSG-alt – um jegliche Datenkategorie handeln.

Somit kann auch in Bezug auf nicht-risikobehaftete Daten eine Verletzung im Sinne des Art. 4 Nr. 12 DSGVO erfolgen.

2. Kenntnisnahme von der Verletzung

Die Meldepflicht wird ausgelöst, sobald der Verantwortliche von der Schutzverletzung Kenntnis nimmt. Liegen dem Verant- wortlichen Tatsachen vor, die eine sinnvolle Meldung an die Aufsichtsbehörde ermöglichen, ist von einer solchen Kennt- nisnahme auszugehen. Die Schutzverletzung wird objektiv bestimmt, sodass es nicht von Bedeutung ist, ob der Verant- wortliche die ihm zur Verfügung stehenden Informationen rechtlich korrekt einordnet. Zwar führt alleine der Verdacht bezüglich einer möglicherweise bestehenden Schutzverlet- zung gerade noch nicht zu einer Meldepflicht des Verant- wortlichen. Man wird jedoch in der Folge Maßnahmen zur Aufklärung dieses Verdachts ergreifen müssen. Im Übrigen dürfte der Verantwortliche juristisch so behandelt werden, als läge eine Kenntnisnahme vor, wenn er sich bewusst solchen Aufklärungsmaßnahmen verweigert.

An dieser Stelle ist noch darauf hinzuweisen, dass bei der Kenntnisnahme auf den Verantwortlichen abzustellen ist.

Ein Auftragsverarbeiter ist nicht zu einer Meldung an die Aufsichtsbehörden verpflichtet. Im Bereich der Auftragsver- arbeitung führt der Auftragsverarbeiter allerdings die technischen Maßnahmen eigenständig aus und ist somit näher an den technischen Risikoquellen für Verletzungen im Sinne des Art. 4 Nr. 12 DSGVO als der Verantwortliche. Dementsprechend ist es interessengerecht, dass der Auftragsverarbeiter nach Art. 33 Abs. 2 DSGVO den Verantwortlichen über eine Schutz- verletzung informieren muss.

3. Risiko für die Rechte und Freiheiten natürlicher Personen

Die grundsätzlich durch eine Schutzverletzung ausgelöste Meldepflicht entfällt nach Art. 33 Abs. 1 S. 1 DSGVO für den Fall, dass von der Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht. Der hinter der Ausnahme aus Art. 33 Abs. 1 S. 1 DSGVO stehende Grundgedanke basiert auf dem risikobasierten Ansatz der DSGVO. In der Entstehungsgeschichte der DSGVO zeigten einige Beteiligte durchaus Sensibilität bezüglich der hohen Anforde- rungen, die in administrativer und bürokratischer Hinsicht an den Verantwortlichen gestellt werden. Der hierdurch entste- hende Aufwand solle nur für den Fall gerechtfertigt sein, dass die Pflichten des Verantwortlichen an potentielle Risiken einer Datenverarbeitung geknüpft sind. Eine solche Einschränkung war in den Regelungen der vor Geltungsbeginn der DSGVO maßgeblichen Datenschutz-Richtlinie (DS-RL) nicht vorgesehen. Gewissermaßen geht mit Art. 33 DSGVO eine Korrektur der zuvor sehr weit gefassten Meldepflichten einher.

Es bleibt die Frage, welcher Risikobegriff zugrunde zu legen ist.

Dabei sollte der möglicherweise drohende Schaden berück- sichtigt werden. Je stärker die Schutzverletzung die Rechte und Freiheiten natürlicher Personen betreffen kann, desto geringere Anforderungen sind an die Eintrittswahrscheinlich- keit zu stellen. Eine meldepflichtige Schutzverletzung liegt daher bei sensiblen Daten im Sinne von Art. 9 DSGVO regel- mäßig vor. Bei Datenverarbeitungsvorgängen in Krankenhäu- sern ist somit aufgrund der Sensibilität der Gesundheitsdaten bei den meisten Schutzverletzungen von einem möglichen Risiko auszugehen. Ähnliches dürfte für Online-Dating-Platt- formen gelten. Im Bereich der Forschung ist je nach Datenkate- gorie ebenfalls eine erhöhte Aufmerksamkeit erforderlich und eine Meldung bei Schutzverletzungen zu empfehlen – so etwa bei Projekten zum politischen Meinungsbild oder bei Langzeit- studien in der Medizin.

Ebenfalls in die Beurteilung miteinzubeziehen ist die Verlet- zungshandlung. Bei einem vorsätzlichen Eindringen in ein IT-System liegt ein zielgerichteter Angriff vor, bei dem der Angreifer im Regelfall mit Schädigungsabsicht auftritt. Das gesteigerte Risiko für die Betroffenen besteht darin, dass der Angreifer es gerade auf die Realisierung dieses Risikos oder zumindest eine hierauf gerichtete Androhung (Lösegeld- erpressung) abgesehen hat. In solchen Fällen verfügen die

(23)

Angreifer oftmals auch über die technischen Fähigkeiten und Möglichkeiten, eine Vielzahl an Daten zu erlangen und treten nicht selten mit dem Ziel an, den Personen ganz bewusst durch eine Veröffentlichung der Daten oder eine Erpressung gegen Lösegeldforderungen zu schaden.

V. Zwischenfazit

Angriffe mittels Emotet stellen eine neue Herausforderung für die IT-Sicherheit dar und können schwerwiegende Folgen für die Betroffenen haben. Aufgrund der gezielten Angriffe und des mitunter perfiden Vorgehens der Angreifer ist davon auszugehen, dass die Schutzverletzungen in Bezug auf betroffene personenbezogene Daten im Regelfall ein relevantes Risiko darstellen und eine Meldung nach Art. 33 Abs. 1 DSGVO erforderlich machen. Dies gilt insbesondere, sofern sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen sind.

Hinweis: Dieser Beitrag wird auf Seite 33 fortgesetzt.

(24)

I. Hintergrund

Die großen Plattformen des Internets – allen voran YouTube – sind alle erst nach der Jahrtausendwende entstanden.

Dennoch galten für solche Plattformen lange keine speziellen Regeln. Blickt man auf den Themenbereich der Haftung, ist dort insbesondere die E-Commerce-RL (EC-RL) hervorzuheben, die die Verantwortlichkeit seither stark für Host-Provider einschränkt. Dies sind Diensteanbieter, die lediglich Speicher- platz bereitstellen, aber keinen Einfluss auf die hochgeladenen Inhalte nehmen. Nach der EC-RL können solche Plattformen demnach für die Inhalte ihrer Nutzer erst selbst verantwort- lich werden, wenn sie Kenntnis von deren Rechtswidrigkeit erlangen und die Inhalte nicht unverzüglich entfernen oder den Zugang zu ihnen sperren. Dieses Verfahren – auch als notice and take down bezeichnet – wurde aber ebenfalls auf Online-Plattformen wie YouTube angewendet, die nicht mehr nur rein passive Vermittler waren. Statt nur Speicherplatz zur Verfügung zu stellen, bereiten viele Plattformen die Nutzer- inhalte zusätzlich auch auf.

1 Gielen, Die neue urheberrechtliche Schranke zum Text- und Data-Mining, DFN-Infobrief Recht 12/2019.

2 Tiessen, Anfang vom Ende?, DFN-Infobrief Recht 01/2019.

Die nunmehr aus der Zeit geratene Haftungsprivilegierung soll zu einem Missverhältnis zwischen den Einnahmen kommerzieller Plattformen wie YouTube und der Rechteinhaber geführt haben. Insbesondere die Musikindustrie befürwortete, dass diese sog. Wertschöpfungslücke («value gap») durch eine Abmilderung der Haftungsprivilegierung wieder geschlossen werden müsse. Andererseits zweifelten Kritiker bereits das Vorliegen einer Wertschöpfungslücke stark an, weil es an belastbaren Belegen mangelt. In der Rechtsprechung waren gleichwohl Entwicklungen erkennbar, wonach der pauschalen Haftungsprivilegierung teilweise ein Riegel vorgeschoben wurde. Der BGH urteilte, dass sich eine Plattform Inhalte der Nutzer auch zu Eigen machen könne, indem nach außen sichtbar die inhaltliche Verantwortung für die Inhalte über- nommen wird. In solchen Fällen sei eine Plattform nicht mehr bloß passiver Vermittler fremder Inhalte, sondern biete selbst Inhalte an und stehe dafür voll in der Haftung (Urteil v. 12.11.2009, Az. I ZR 166/07). Auch der EuGH hielt die Privilegierung nicht für alle Plattformen anwendbar. Sobald eine Plattform hinsichtlich der Inhalte eine „aktive Rolle“

einnehmen würde, die ihr eine Kenntnis oder eine Kontrolle über die Inhalte verschaffe, sollte auch hier die Haftungsprivi- legierung entfallen (Urteil v. 12.7.2011, Az. 324/09).

First Rule: You Do Not Talk About Uploadfilter!

Die ungefilterte Wahrheit über Artikel 17 DSM-RL

von Nico Gielen

Dieser Infobrief ist erneut der EU-Urheberrechtsrichtlinie (DSM-RL) gewidmet. Nachdem in der

letzten Ausgabe das Text- und Data-Mining (Art. 3 DSM-RL) beleuchtet wurde

¹

, wird nun das

Augenmerk auf Art. 17 DSM-RL gelegt. Diese Vorschrift ist als ehemaliger Art. 13 in den Fokus der

Öffentlichkeit gelangt und bildet den umstrittensten Teil der Richtlinie; die Diskussion rund um

den Uploadfilter hat zu gar abstrusen Wortgefechten geführt. Der Entwurf der Richtlinie wurde

bereits in einem Infobrief dargestellt

²

; nun kann über die endgültige Fassung der Vorschrift

berichtet werden. Da eine Richtlinie – anders als eine Verordnung – nicht unmittelbar gilt, muss

sie innerhalb der nächsten zwei Jahre von den Mitgliedstaaten umgesetzt werden. Diese haben

dabei einen gewissen Spielraum, der hier aufgezeigt werden soll.

(25)

Diese Bemühungen der Rechtsprechung kam der Unions- gesetzgeber entgegen, indem für bestimmte Online-Platt- formen (II) die alte Haftungsprivilegierung abgeschafft (III) und eine neue Haftungsprivilegierung entwickelt wurde (IV). Dabei ist insbesondere der Schutz von Jungunternehmen unzurei- chend ausgefallen (V).

II. Erfasste Online-Plattformen

Art. 17 DSM-RL findet nur Anwendung auf „Diensteanbieter für das Teilen von Online-Inhalten“. Dies sind Online-Plattformen, auf die Nutzer große Mengen geschützter Inhalte hochladen, wobei die Plattformen diese Inhalte organisieren und zum Zwecke der Gewinnerzielung bewerben müssen. Bei der Auslegung der „großen Menge“ soll unter anderem die Anzahl der hochgeladenen Dateien und die Zielgruppe der Online- Plattform Berücksichtigung finden (ErwGr. 63). Weiterhin sollen nur solche Dienste erfasst werden, die auf dem Markt für Online-Inhalte eine „wichtige Rolle“ spielen, indem sie mit anderen Online-Inhaltediensten, wie Audio- und Video- Streamingdiensten, um dieselben Zielgruppen konkurrieren (ErwGr. 62). Erkennbar hatte der Gesetzgeber Dienste wie Spotify und Netflix vor Augen, die das Angebot von YouTube teilweise ersetzen.

Es werden keine Dienste erfasst, deren Hauptzweck ein anderer als der beschriebene ist. Beispielhaft werden aufgezählt: Online-Enzyklopädien, bildungsbezogene und wissenschaftliche Repositorien, Entwicklungs- und Weiterga- beplattformen für quelloffene Software, Online-Marktplätze, elektronische Kommunikationsdienste und Cloud-Dienste.

Werden Cloud-Dienste allerdings als Piraterie-Plattformen missbraucht, greift Art. 17 DSM-RL gleichwohl (ErwGr. 62).

III. Abschaffung der alten Haftungsprivilegierung

Die Haftungsprivilegierung nach der EC-RL setzt voraus, dass allein der hochladende Nutzer eine urheberrechtliche Nutzungshandlung vornimmt – allein er ist Täter der Urheber- rechtsverletzung. Die Plattform, auf die die Inhalte geladen werden, ist demnach kein Täter und kann daher allenfalls auf Unterlassung, nicht aber auf Schadensersatz haften. Der verletzte Rechteinhaber wird also auf die aussichtslose Suche nach dem hochladenden Nutzer verwiesen.

Art. 17 Abs. 1 DSM-RL stellt nun aber für die erfassten Platt- formen unzweifelhaft fest: Wer Zugang zu hochgeladenen Inhalten verschafft, nimmt zukünftig selbst eine urheberrechtliche Nutzungshandlung vor. Daher muss diese auch eine Erlaubnis vom Rechteinhaber einholen. Ist dies nicht geschehen, liegt folglich ein Rechtsverstoß des Plattformbe- treibers selbst vor – er ist nun Täter. Somit können Rechtein- haber von Plattformbetreibern künftig auch Schadensersatz verlangen. Die Haftungsprivilegierung aus der EC-RL gilt für diese Plattformen nicht mehr.

IV. Die neue Haftungsprivilegierung

Auch das neue Haftungssystem sieht jedoch keine ausnahms- lose Haftung der Plattformen vor, sondern enthält einen eigenen Privilegierungstatbestand. In Abs. 4 werden drei Voraussetzungen genannt, die eine Plattform erfüllen muss, um der Haftung zu entgehen:

1. Erlaubnis der Rechteinhaber

Erstens muss die Plattform nachweisen, alle Anstrengungen unternommen zu haben, um die Erlaubnis vom Rechtein- haber einzuholen. Hier stellt sich zunächst die Frage, wann

„alle Anstrengungen“ unternommen worden sind. Der Begriff ist unbestimmt und wird durch die DSM-RL auch nicht weiter definiert. Der nationale Gesetzgeber kann ihn bei der Umsetzung der DSM-RL dazu nutzen, Einzelfallgerechtig- keit herzustellen. In Übereinstimmung mit dem Grundsatz der Verhältnismäßigkeit könnte beispielsweise zwischen einzelnen Formen von Plattformen differenziert werden.

Eine solche Differenzierung könnte an Art. 17 Abs. 5 DSM-RL anknüpfen und die dort genannten Faktoren berücksichtigen:

Art, Publikum und Umfang des Dienstes, Art der hochgeladenen Inhalte, Verfügbarkeit geeigneter und wirksamer Mittel und deren Kosten.

Bezogen auf die erste Voraussetzung der Haftungsprivile- gierung wäre eine Pflicht, von jedem Rechteinhaber eine Erlaubnis einzuholen, allerdings schlicht unverhältnismäßig.

Dies würde zum einen die urheberrechtliche Überprüfung aller hochgeladenen Inhalte und zum anderen die Kontak- tierung aller betroffenen Rechteinhaber erfordern. Denkbar sind daher allenfalls Verträge mit Verwertungsgesellschaften,

(26)

in denen sich Rechteinhaber vereinigt haben. Dann können die Plattformbetreiber mit den Verwertungsgesellschaften Verträge über die Nutzungsrechte gebündelt schließen. Aller- dings sind auch nicht alle Rechteinhaber in Verwertungs- gesellschaften vereinigt. Um dieses Problem zu lösen, wird die kollektive Lizenzvergabe mit erweiterter Wirkung nach Art. 12 Abs. 1 DSM-RL diskutiert. Dadurch soll Verwertungsge- sellschaften ermöglicht werden, Lizenzvereinbarungen auch für solche Rechteinhaber abschließen zu können, die diesen kein Mandat erteilt haben. Allerdings wird dieser Lösungsan- satz bezweifelt, weil die kollektive Lizenzvergabe mit erweiterter Wirkung primär im Zusammenhang mit vergriffenen Werken diskutiert worden ist.³

2. Gewährleistung der Nichtverfügbarkeit (Uploadfilter)

Zweitens muss die Plattform alle Anstrengungen unternommen haben, um zu gewährleisten, dass die geschützten Inhalte, für die keine Erlaubnis eingeholt werden konnte, nicht verfügbar sind. Dies hat insbesondere eine Frage provoziert:

Verpflichtet die DSM-RL zur Implementierung von Upload- filtern? Dieser Begriff beschreibt ein technisches System, mithilfe dessen hochgeladene Inhalte auf Urheberrechtsver- stöße untersucht und gegebenenfalls gesperrt werden. Zwar schreibt die DSM-RL solche Maßnahmen nicht ausdrücklich vor und darauf haben sich auch die Verfechter der Reform stets berufen. Vor dem Hintergrund der Menge hochgeladener Inhalten, ist lediglich eine technische Überprüfung denkbar.

Geht man also davon aus, dass kein Weg an Uploadfil- tern vorbeiführt, entstehen Folgeprobleme. Eins davon ist Art. 17 Abs. 8 UAbs. 1 DSM-RL. Diese Vorschrift verbietet allgemeine Überwachungsmaßnahmen durch Online-Plattformen.

Es drängt sich die Schlussfolgerung auf, dies stehe gerade der Einführung eines technischen Systems entgegen, mit dem eine Überwachung der gesamten auf die Plattform hochgeladenen Inhalte einherginge. Ob die Vorschriften der DSM-RL vor diesem Hintergrund in Einklang zu bringen sind, wird durch den nationalen Gesetzgeber oder letztlich die Rechtsprechung zu entscheiden sein.

Ein weiteres Problem ist, dass Uploadfilter ein weniger geeig- netes Mittel sind, die Rechtslage zu prüfen. Zwar hat YouTube

3 Ein Themenbereich der DSM-RL, der ebenfalls in diesem Infobrief besprochen wird.

bereits ein Filtersystem entwickelt, das akkurat arbeiten soll («Content ID»). Art. 17 DSM-RL ist aber nicht nur auf den Musik- und Videobereich, sondern auf alle Werkarten anwendbar. Für andere Werkarten gibt es aber bislang keine zuverlässigen Filtersysteme. Wenn aber eine Pflicht zur Einführung von Uploadfiltern nicht umsetzbar ist, kann sie auch keine rechtliche Wirkung entfalten.

Ein drittes Problem von Uploadfiltern wird oftmals mit Over- blocking überschrieben. Dies beschreibt den Effekt, das Online-Plattformen rechtmäßig hochgeladene Inhalte aus Furcht vor der Haftung dennoch sperren. Dies betrifft insbesondere Inhalte, die sich im rechtlichen Graubereich bewegen.

Es wurden zwar einige Gegenmaßnahmen eingebaut, um den Effekt des Overblocking vorzubeugen. Unter anderem sollen Schranken des Urheberrechts für Zitat, Kritik, Karikatur und Parodie vorgesehen werden. Weiterhin sollen im Falle von unrechtmäßigen Blockierungen, Beschwerden von Nutzern unverzüglich von einem Menschen bearbeitet werden. Aber auch wenn diese Gegenmaßnahmen Wirkungen zeigen sollten – was bereits sehr fraglich ist – bleibt dennoch eine Erkenntnis: Kommunikation auf Online-Plattformen besteht künftig unter Vorbehalt. Nach bisheriger Rechtslage durften Nutzer zunächst Inhalte hochladen, bevor die Online-Platt- form eventuell zum Mittel der Sperrung greifen musste. Fortan muss die Plattform prüfen, bevor die Inhalte auf der Plattform überhaupt erst verfügbar sind. Online-Plattformen müssen in Zukunft also nicht mehr repressiv, sondern präventiv handeln.

Dies kann, insbesondere aus Sicht der Rechteinhaber, begrüßt werden. Es kann aber auch als Gefahr gesehen werden. Der Wert und Nutzen vieler Inhalte sind gerade bei der schnellle- bigen digitalen Kommunikation von ihrer Aktualität abhängig.

Durch den Einsatz von Uploadfiltern könnte der Zugang zu Informationen in Zukunft hingegen erschwert werden. Im Übrigen hängt es wesentlich von der Effektivität des Beschwer- deverfahrens ab, ob dem Overblocking getrotzt werden kann.

Kann eine Beschwerde online mit wenigen Klicks eingereicht werden, mag dies noch tolerabel sein. Ist der Nutzer aber vom Beschwerdeverfahren überfordert, entsteht die Gefahr, dass seine Passivität dazu führt, dass der Inhalt überhaupt nicht mehr hochgeladen wird.