201513.08.

IT-Sicherheitsgesetz: Neue Pflichten für Anbieter im eCommerce

Am 12.06.2015 hat der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz) verabschiedet (siehe Blogartikel dazu), das am 01.08.2015 in Kraft getreten ist.

Neben Vorgaben für sog. kritischer Infrastrukturen wie Banken, Energieversorger oder Krankenhäuser bringt das Gesetz durch die Einführung des neuen § 13 Abs. 7 Telemediengesetz auch eine Änderung der Rechtslage für Anbieter von Telemedien, also z.B. für Onlineportale und Shops oder Apps.

Der neue § 13 Abs. 7 TMG lautet wie folgt:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.


Anwendungsbereich

Anwendung findet diese neue Vorschrift auf “Diensteanbieter von geschäftsmäßig angebotenen Telemedien”. Ohne hier ins Detail zu gehen ist davon auszugehen, dass lediglich nicht-kommerzielle Angebot durch Private oder Idealvereine vom Anwendungsbereich der Norm ausgenommen sind. Sofern im Rahmen des Telemediums Werbung angeboten wird, wird allerdings von einer “geschäftsmäßigen” Handlung auszugehen sein.


Technische Pflichten für Diensteanbieter

§ 13 Abs. 7 Nr. 1: Maßnahmen gegen unerlaubten Zugriff
Betreiber von eCommerce Angeboten haben sicherzustellen, dass kein unerlaubter Zugriff auf ihre technischen Einrichtungen möglich ist. Die Gesetzesbegründung führt dazu aus, dass die Regelung zum Beispiel darauf abzielt “das unbemerkte Herunterladen [von Schadcode] allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sog. Drive-by-Downloads)” zu verhindern. In diesem Zusammenhang wird weiter ausgeführt dass das „Einspielen von Sicherheitspatches” zahlreiche dieser Drive-by-Downloads verhindern könnte.

Demnach kann angenommen werden, dass der Gesetzgeber hier eine abstrakte Pflicht zum Einspielen von Patches normiert.

Interessant und relevant für die B2B Vertragsgestaltung im eCommerce ist, dass die Diensteanbieter nach der Gesetzesbegründung auch dazu verpflichtet werden, ihre Werbedienstleister vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten, um zu verhindern, dass Drive-by-Downloads durch Dritte ermöglicht werden.

§ 13 Abs. 7 Nr. 2: Maßnahmen zum Schutz personenbezogener Daten
Der Diensteanbieter muss zudem sicherstellen, dass seine technischen Einrichtungen gegen „Verletzungen des Schutzes personenbezogener Daten” gesichert sind. Dies soll nach § 13 Abs. 7 Satz 3 TMG gegeben sein, sofern ein als sicher anerkanntes Verschlüsselungsverfahren eingesetzt wird. Bezüglich der Frage, was als „sicher anerkannt” ist, wird man sich an den jeweils aktuellen Vorgaben des Bundesamts für Sicherheit in der Informationstechnologie orientieren können.

Das Wort “insbesondere” in § 13 Abs. 7 Satz 3 TMG zeigt jedoch auf, dass die Verschlüsslung nicht das einzige zulässige Verfahren ist, um den Zweck des § 13 Abs. 7 Nr. 2 TMG zu erreichen. Denkbar sind laut der Gesetzesbegründung etwa auch Authentifizierungsverfahren.

Demnach normiert die Regelung keine generelle Pflicht zur Verschlüsslung.

 § 13 Abs. 7 Nr. 3: Maßnahmen zum Schutz gegen äußere Störungen
Schließlich werden Diensteanbieter dazu verpflichtet, Maßnahmen zum Schutz „gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind” einzurichten. Hintergrund wird wohl der Schutz vor DDoS-Angriffen sein. Details hierzu nennt die Gesetzesbegründung allerdings nicht.

Technische Realisierbarkeit und wirtschaftliche Zutmutbarkeit

Die gesetzlichen Vorgaben zur Sicherheit stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar” sein müssen. Diese Einschränkung ist vom Grundsatz her sehr sinnvoll, stellt sich aber in dieser Form als recht unbestimmt dar. Die Norm wird, sofern sie nicht wegen der unbestimmten Verpflichtungen sogar verfassungswidrig ist, der Auslegung durch die Rechtsprechung bedürfen. Rechtssicherheit durch konkrete Vorgaben für die für Diensteanbieter wird durch das Gesetz nicht erreicht.

Rechtsfolgen bei Verstößen: Bußgelder und wettbewerbsrechtliche Abmahnung?

Als Rechtsfolge bei Verstößen gegen § 13 Abs. 7 Nr. 1 a) TMG sieht das Gesetz Bußgelder von bis zu 50.000,00 EUR vor, § 16 Abs. 2 Nr. 3 TMG. Die zuständigen Landesbehörden als Bußgeldstellen sind jedoch bislang nicht dafür bekannt, bei Verstößen gegen das Telemediengesetz besonders aktiv zu sein.

Interessanter ist die Frage nach dem wettbewerbsrechtliche Charakter der Norm als Marktverhaltensregelung. Nimmt man an, dass § 13 Abs. 7 TMG eine solche Marktverhaltensregelung ist, könnten Wettbewerber oder Wettbewerbsverbände/Verbaucherschützer auf Grundlage von §§ 3,4 Nr. 11 UWG gegen Verstöße gegen § 13 Abs. 7 TMG vorgehen. Gründe für eine solche Annahme liegen nahe, denn das Gesetz bezweckt gerade, einen, wenn auch recht unbestimmten, technischen Mindeststandard für geschäftsmäßige Telemedien zu etablieren. Mit guten Gründen lässt sich also vertreten, dass die Norm damit bezweckt, das Verhalten auf dem Markt zu regeln.

201512.08.

LG Wuppertal: Werbeflyer mit Bestellkarte muss vollständige Widerrufsbelehrung beinhalten

Nach einem aktuellen Urteil des Landgerichts Wuppertal (Urteil vom 21.07.2015, Az. 11 O 40/15) muss in einen Werbeprospekt mit Antwort-/Bestellkarte die vollständige Widerrufsbelehrung und das Muster-Widerrufsformular aufgenommen werden.

Erstritten hat das Urteil die Wettbewerbszentrale in einem Musterverfahren zur Umsetzung der Verbraucherrechtelinie und führt dazu aus:

Im konkreten Fall hatte die Beklagte einen mehrseitigen Werbeprospekt mit Antwort- und Bestellkarte als Beileger zu Zeitschriften veröffentlicht. In dieser Bestellkarte wurde lediglich auf das Bestehen eines Widerrufsrechts hingewiesen. Es fehlten jedoch die Informationen über die Bedingungen, Fristen und das Verfahren für die Ausübung des Widerrufsrechts sowie Namen, Anschrift, Telefonnummer desjenigen, dem gegenüber der Widerruf zu erklären ist, ebenso wie das Muster-Widerrufsformular. Die Beklagte vertrat die Auffassung, bei dem Werbeprospekt handele es sich um ein Fernkommunikationsmittel mit beschränktem Raum, weshalb die Ausnahme nach Art. 246a § 3 EGBGB greifen würde, wonach der Unternehmer nur in beschränktem Umfang Pflichtinformationen zu erteilen habe.

Das Landgericht Wuppertal führt hierzu aus, dass nach Sinn und Zweck der Vorschrift des Art. 246a § 3 EGBGB Printmedien nicht zu privilegieren seien. Dem Kommunikationsmittel Flyer sei der begrenzte Raum nicht immanent und deshalb – notgedrungen – hinzunehmen, wolle man das Medium nicht faktisch als Werbemittel verbieten. Der begrenzte Raum eines solchen Werbemediums basiere auf einer freiwilligen Gestaltung des Werbenden. Würde man diesen freiwillig herbeigeführten Platzmangel mit Medien, bei denen der Platzmangel technisch bedingt ist, gleichsetzen, könne der Unternehmer sich durch die Wahl der Größe der Printbeilage gesetzlichen Aufklärungspflichten entziehen.

201511.08.

Windows 10 und der Datenschutz

Update 17.08.2015

Die Debatte um die Datenschutzeinstellungen von Windows 10 geht weiter. In einer aktuellen Untersuchung hat das Technik-Blog Ars Technica herausgefunden, dass Microsoft selbst dann Daten eines Windows 10 Systems sammelt, wenn der Nutzer alle Funktionen zur Kommunikation mit Microsoft abgeschaltet hat und den Computer nur mit einem lokalen Benutzerkonto verwendet (Even when told not to, Windows 10 just can’t stop talking to Microsoft).

Neben Verbindung zum Content-Delivery-Network stellte Ars Technica regelmäßige Übermittlungen an den Microsoft-Server ssw.live.com fest, der für Microsofts Cloud Dienst Onedrive sowie für andere Dienste verwendet wird. Obwohl sowohl Onedrive als auch die übrigen Windows Dienste im Rahmen der Untersuchung deaktiviert wurden, kam es zu Datenübermittlungen. Was für Daten dabei übermittelt wurden, konnte Ars Technica nicht feststellen.

Ähnlich verhielt es sich mit den Eingaben im Rahmen des Sprachassistenten Cortana und der Internetsuche, obwohl beide deaktivert wurden: Sobald etwas im Startmenü eingegeben wurde, wurde von der Webseite www.bing.com eine Datei namens threshold.appcache heruntergeladen, in der sich für Cortana relevante Informationen befanden. Dabei wurde u.a. eine zufällige eindeutige ID erzeugt und übermittelt, die auch nach einem Neustart des Systems noch vorhanden ist.

Vor dem Hintergrund des von Microsoft verfolgten Datenschutzregims stellt sich der datenschutzrechtkonforme Einsatz von Windows 10, insbesondere für Unternehmen (in Deutschland), als sehr problematisch dar.


Am 29. Juli 2015 hat Microsoft sein neues Betriebssystem Windows 10 veröffentlicht. Schon nach nur wenigen Tagen zeigen sich dabei erhebliche Defizite im Hinblick auf die Datenschutzeinstellungen, die im Folgenden kursorisch dargestellt werden sollen.

Microsoft hatte erst im Juli dieses Jahres seine Datenschutzbestimmungen aktualisiert und sich sehr weitgehende Recht hinsichtlich der Nutzerdaten eingeräumt. Insbesondere behält sich Microsoft das Recht vor, Daten über Inhalte und Nutzung eines Windows-10-Computers zu erheben und sie für zielgerichtete Werbung oder den Datenhandel mit Dritten zu nutzen. Zu diesem Zweck erstellt Microsoft für jede Windows 10 Installation eine sog. Werbe-ID und verknüpft diese zur Identifikation des Nutzers mit den von ihm verwendeten E-Mail Adressen bei App-Downloads und anderen Microsoft-Programmen. Des Weiteren ist auch die Standortbestimmung  standardmäßig aktiviert; der Zugriff auf die Kamera wird für Apps standardmäßig gewährt. Für die virtuelle Assistentin Cortana und deren persönliche Empfehlungen sammelt Microsoft Kontakte, aktuelle Kalenderereignisse, Sprach- und Handschriftmuster sowie den Eingabeverlauf, im Rahmen der Feedback- und Diagnosefunktion werden sämtliche verfügbaren “Diagnose- und Nutzungsdaten” standardmäßig übermittelt. Außerdem sammelt Microsoft standardmäßig Informationen zum Schreibverhalten der Nutzer, um die Eingabe- und Suchfunktionen “in der Zukunft zu verbessern”. Schließlich werden im Rahmen der Kontosynchronisieren standardmäßig der Browserverlauf sowie Passwörter für das WLAN und für Websites, auf denen man sich eingeloggt hat, an Microsoft übermittelt.

Zu welchen Zwecken diese Daten verwendet werden, ist in Microsofts Datenschutzbestimmungen sehr ausführlich beschrieben. Demnach setzt Microsoft alle persönlichen Daten die Nutzer preisgeben ein (als Beispiele führt Microsoft den Inhalt von E-Mails und andere private Mitteilungen oder Dateien in privaten Ordnern an), um seine Geschäft zu betreiben und die angebotenen Dienste bereitstellen zu können (einschließlich Verbesserung und Personifizierung), um Mitteilungen, einschließlich Werbematerial zu senden und um Werbung anzuzeigen.

Wer sicherstellen möchte, dass überhaupt keine Telemetriedaten an Microsoft übermittelt werden, kann dies bislang wohl nur manuell über die Bearbeitung der Registry erreichen [engl. Anleitung auf reddit.com].

Datenschutzrechtlich fragwürdig ist, dass Microsoft sich im Rahmen der (Express-)Installation die vorgenannten Rechte einräumt, ohne dabei transparent die ausdrückliche Einwilligung des Nutzers zu den einzelnen datenschutzrelevanten Optionen einzuholen. Im deutschen Datenschutzrecht besteht das Grundprinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass zunächst jede Datenverarbeitung verboten ist, es sei denn, ein gesetzlicher Erlaubnistatbestand erlaubt sie. Als Erlaubnistatbestand regelt das Gesetz insbesondere die freiwillige und informierte Einwilligung des Betroffenen (sog. Opt-In). Bei der von Microsoft empfohlenen Expressinstallation wird diese Einwilligung nicht eingeholt.

Dagegen gehen die Datenschutzeinstellungen von Windows 10 standardmäßig von einer Vielzahl von Einwilligungen des Betroffenen aus und gestatten lediglich das Recht, einer entsprechenden Datenverarbeitung zu widersprechen (sog. Opt-Out). Insofern besteht ein Widerspruch zur bezweckten gesetzlichen Regelungen, die den Betroffenen vor einer unkontrollierten und übermäßigen Datenverarbeitung schützen soll. Entsprechendes gilt für die standardmäßige Übermittlung von personenbezogenen Daten des Nutzers zur Analyse auf microsofteigene Server. Es ist davon auszugehen, dass dabei auch Übermittlungen in die USA stattfinden. Auch diese Übermittlungen bedürfen einer gesetzlichen Erlaubnis, etwa der Einwilligung (Opt-In) des Betroffenen.

Zwar besteht in § 7 Abs. 3 UWG eine spezielle Regelung zum Einsatz des Opt-Out Konzepts. Dieses betrifft allerdings alleine den Empfang von Werbung durch Fax, E-Mail oder SMS. Unabhängig davon sind aber die erstmalige Erhebung der Daten beim Kunden sowie Datenverarbeitungen zu anderen Zwecken als der Werbung am datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt zu messen.

Bisher bestand in der allgemeinen Wahrnehmung ein Unterschied zwischen „mobilen Betriebssystemen“ (Android, iOS) und der aus der Vergangenheit bekannten und gewachsenen stationären und autarke Natur von Windows als Betriebssystem. Anders als bei den “mobilen Betriebssystem”, erforderte die Nutzung eines stationären Betriebssystems bislang (optional ab Windows 8) keine Kontoanmeldung und somit keine immanente Nutzung von Cloud Diensten. Windows 10 bietet zwar die Möglichkeit, eine Vielzahl der aufgezeigten Datenübermittlung zu deaktivieren. Microsoft scheint sich aber insgesamt, wie schon mit Windows 8 angedeutet und durch die Voreinstellung zum Datenschutz in Windows 10 bestätigt, von dem bisherigen Grundprinzip eines stationären und autarken Betriebssystems abzuwenden.

Die Verbraucherzentrale Rheinland-Pfalz findet dafür recht drastische Worte:

Mit Windows 10 von Microsoft kommt ein Betriebssystem auf den Markt, das den PC in eine Art private Abhöranlage verwandelt. Nach Smartphones und Tablets erfolgt jetzt auch am heimischen Schreibtischrechner oder Notebook eine umfassende Beobachtung. Nutzer der Windows-Vorgängerversionen 7 oder 8 können die neue Software kostenlos erhalten. Alle Anwender bezahlen aber zusätzlich, nämlich durch die Preisgabe ihrer Daten.

Das Handelsblatt titelt: “Datenschützer kritisieren: Microsoft Windows 10 ist ein großes Schnüffel-Tool”.

Eine Beschreibung, wie das Windows 10 Update-Icon aus der Taskleiste entfernt werden kann, findet sich u.a. auf heise.de. Außerdem hat heise unter dem Titel Windows 10: Datensammelwut beherrschen eine Anleitung veröffentlicht, wie sich die die Datensammelei in Grenzen halten lässt.

201504.08.

Rechtliche Rahmenbedingungen für Telearbeit / Home-Office

Im Rahmen der Initiative eBusiness-Lotse Aachen fand am 30. Juli 2015 die Veranstaltung „Telearbeit“ – In den Niederlanden seit Juli 2015 ein gesetzlicher Anspruch. Bald auch bei uns?” statt. Der eBusiness-Lotse Aachen ist Teil der Förderinitiative „eKompetenz-Netzwerk für Unternehmen“, die im Rahmen des Förderschwerpunkts „Mittelstand-Digital – IKT-Anwendungen in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert wird.

Im Rahmen von zwei Vorträgen ging dabei zunächst Detlev Artelt, Geschäftsführer der aixvox GmbH auf aktuelle Kommunikationslösungen und neue Arbeitsplatzkonzepte im Rahmen des Home-Office ein. Dabei bedeute im Homeoffice zu arbeiten, nicht einfach zu Hause zu bleiben und den Laptop einzuschalten. Bei der Planung und Umsetzung eines Telearbeitsplatzes gelte es einiges zu beachten. Nicht nur die Technik müsse stimmen, auch Mitarbeiter und Kollegen gelte es, auf die Veränderung im Unternehmen vorzubereiten.

RA Sebastian Schwiering stellte sodann die rechtlichen Rahmenbedingungen für Telearbeit vor. Während in der Vergangenheit noch die technische Umsetzung als größte Herausforderung galt, stehen heute vor allem rechtliche Fragen im Vordergrund. Dabei sind insbesondere Fragen des Arbeits- und Datenschutzrechts, sowie bei der technischen Datensicherheit relevant. Der Vortrag stellte die rechtlichen Rahmenbedingungen dar und wagte einen Ausblick auf gesetzliche Regelungen zum Home-Office in Deutschland und den Niederlanden.