201527.10.

EU schafft die Netzneutralität faktisch ab

Trotz massiver Kritik von Internetunternehmen, Risikokapitalgebern und Bürgerrechtsorganisationen hat das EU-Parlament heute die umstrittenen Regeln zur Netzneutralität verabschiedet. Die Regelungen sind Teil einer Verordnung zur Harmonisierung des europäischen Binnenmarktes in der Telekommunikation, die u.a. die Roaming-Gebühren im EU-Ausland senken soll.

Die Kritik an der Verordnung betrifft insbesondere die Punkte Datenverkehrskategorien, Spezialdienste, Trafficmanagement und Zero-Rating. Die Regelungen zu diesen Themen führen im Ergebnis dazu, dass die Netzneutralität unterlaufen und damit faktisch aufgehoben wird:

  • Datenkategorien: Die Verordnung erlaubt es Netzbetreibern, Datenpakete in verschiedene “Verkehrskategorien” einzuteilen und diese dann unterschiedlich zu behandeln, also zu priorisieren oder ganz auszuschließen. Dies könnte insbesondere im P2P- oder im Gamingbereich erhebliche Nachteile für die Nutzer nach sich ziehen. Im Übrigen bleibt zu befürchten, dass dies auch Nachteile für verschlüsselten Datenverkehr mit sich bringt, alleine wegen der Tatsache, dass in diesem Fall eine Kategorisierung wegen der Verschlüsslung zumindest aufwendiger sein dürfte.
  • Spezialdienste: Hierdurch eröffnet sich für Telekommunikationsanbieter die Möglichkeit, bestimmte Angebote als Spezialdienste zu vermarkten und deren Traffic gegenüber den anderen Nutzern, natürlich gegen ein Entgelt, zu priorisieren. Geplante Einsatzgebiete und Motivation im Gesetzgebeungsverfahren waren etwa die Telemedizin oder autonome Autos. Die Verordnung beschränkt diese Dienste jedoch nicht auf solche kritischen Angebote, sodass in der Zukunft damit zu rechnen ist, dass auch andere Geschäftsfelder solche Spezialdienste aufbauen werden (z.B. im Bereich von HD-Videos / Gaming).
  • Trafficmanagement: Eine Drosselung bestimmter Datenübertragungen kann nach der Verordnung nunmehr auch bei drohender Netzüberlastung beginnen; eine tatsächliche Überlastung ist nicht erforderlich.
  • Zero-Rating: Nach der Verordnung bleiben Dienste, deren Nutzung vom monatlichen Datentransfervolumen der Anbieter ausgeklammert werden (z.B. einer Flatrate), erlaubt.

Mit diesen Regelungen werden lokale Start-Ups gegenüber Global Playern klar benachteiligt. Im Ergebnis muss festgehalten werden, dass die Verordnung alles andere als das ursprüngliche Ziel, die Festschreibung der Netzneutralität, erreicht. Der Begriff “Netzneutralität” wurde bezeichnenderweise vollständig aus dem Entwurf gestrichen.

Die Verordnung ist in zahlreichen Punkten lückenhaft und unbestimmt, sodass es letztlich auf die Leitlinien der nationalen Regulierungsbehörden (in Deutschland die Bundesnetzagentur), welche die Verordnung umsetzen und die Umsetzung überwachen sollen, ankommen wird.

201523.10.

Datenschutzbehörden äußern sich zu Konsequenzen des Safe-Harbor Urteils

Nach dem Safe-Harbor Urteil des EuGH (siehe Blogartikel dazu), haben sich inzwischen sowohl die deutschen als auch die europäischen Datenschutzbehörden zu den Konsequenzen für die Übermittlung von personenbezogenen Daten in die USA geäußert. Recht kritisch und ausführlich hat sich insbesondere das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Positionspapier zum Safe-Harbor Urteil mit der Thematik auseinandergesetzt.

Die Article 29 Working Party, ein Zusammenschluss der europäischen Datenschutzbehörden, hat ebenfalls ein kurzes Positionspapier veröffentlicht. Hiernach haben die EU-Kommission und die US-Regierung bis Ende Januar 2016 Zeit, um zu einer neuen Einigung zur Übermittlung von personenbezogenen Daten in die USA zu kommen. Die Article 29 Working Party stellt in diesem Zusammenhang klar, dass „alle notwendigen und angemessenen Maßnahmen“ zu ergreifen seien, um die europäischen Datenschutzregeln durchzusetzen. Eine massive und anlasslose Überwachung, wie sie in den USA praktiziert werde, sei unvereinbar mit dem in den EU-Staaten geltenden Recht.

Die Frist bis Ende Januar 2016 wird prinzipiell auch von den deutschen Datenschutzbehörden getragen. Unabhängig von Beschwerdefällen wollen die Aufsichtsbehörden bis zu diesem Zeitpunkt darüber entscheiden, ob die alternativen Erlaubsnistatbestände zur Übermittlung von personenbezogenen Daten in die USA, wie etwa die EU-Standardvertragsklauseln oder die Binding Corporate Rules, eine Übermittlung auch in Zukunft rechtfertigen können. Es ist davon auszugehen, dass die Aufsichtsbehörden bis Ende Januar 2016 nicht gemeinsam gegen betroffene Unternehmen vorgehen werden.

201517.10.

Bundestag beschließt Vorratsdatenspeicherung

Am 16.10.2015 hat der Bundestag trotz massiver Kritik von Datenschützern, Juristen und Teilen der Bevölkerung die Vorratsdatenspeicherung mit 404 Ja-Stimmen, 7 Enthaltungen und 148 Nein-Stimmen beschlossen.

Meine Bedenken gegen das Gesetz habe ich im Blog schon mehrfach erläutert: Warum wir keine Vorratsdatenspeicherung brauchen und Kritik am Gesetzentwurf zur Vorratsdatenspeicherung.

Entsprechende Gesetze wurden bereits von den Verfassungsgerichten in Belgien, den Niederlanden, Rumänien und Tschechien kassiert. Es bleibt zu hoffen, dass das Bundesverfassungsgericht zeitnah ein weiteres Mal das informationelle Selbstbestimmungsrecht verteidigt und die anlasslose Massenüberwachung durch dieses Gesetz für unwirksam erklärt.

201506.10.

EuGH erklärt Safe-Harbor Abkommen für ungültig

Der Europäische Gerichtshof hat mit Urteil vom heutigen Tag entschieden, dass das Datenschutzabkommen “Safe Harbor” zwischen der EU und den USA ungültig ist (Urteil vom 06.10.2015, Az: C-362/14, Pressemitteilung). Das Gericht schloss sich damit der Einschätzung des EuGH-Generalanwalts Yves Bot an, der in seinem Schlussantrag herausstellte, er halte das Safe-Harbor-Abkommen vor dem Hintergrund der Aktivitäten von US-Geheimdiensten für ungültig.

Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig

In seiner Entscheidung kritisiert der Gerichtshof, dass das Safe Harbor Abkommen nur für amerikanischen Unternehmen gilt, die sich ihm unterwerfen, nicht aber für die Behörden der USA. Zu Recht stellt der EuGH sodann heraus und kritisiert, dass die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor der Safe-Harbor-Regelung haben, so dass amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die im Safe-Harbor Akommen vorgesehenen Schutzregeln unangewandt zulassen, wenn sie in Widerstreit zu solchen “nationalen” Erfordernissen stehen.

Die amerikanische Safe-Harbor-Regelung ermöglicht daher Grundrechtseingriffe durch amerikanischen Behörden, ohne dass es dazu Regeln gibt, die etwaige Eingriffe begrenzen bzw. einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gewährleisten.

Das Urteil hat zur Folge, dass die irische Datenschutzbehörde, vor dem das Ausgangsverfahren geführt wurde, die Beschwerde des Klägers mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Aus unserer Zusammenarbeit mit den nationalen Datenschutzbehörden wissen wir, dass diese Datenverarbeitungen- bzw. Übermittlungen in die USA zunehmend kritisch gegenüberstehen. Der EuGH bestätigt nunmehr diese in der Praxis gewachsenen Bedenken mit diesem Urteil.

201505.10.

Offene WLAN-Hotspots: Das neue Haftungsrecht

Anfang letzten Montats hat die Bundesregierung das sog. WLAN-Gesetz verabschiedet mit dem insbesondere das Telemediengesetz geändert wird (Entwurf eines Zweiten Gesetzes zur Änderung des Telemediengesesetz). Der Gesetzentwurf muss noch den Bundestag passieren; der Bundesrat ist nicht zustimmungspflichtig.

Das Gesetz zielt darauf ab, WLAN-Betreibern die nötige Rechtssicherheit in Haftungsfragen zu verschaffen, um auf diesem Wege eine größere WLAN-Abdeckung in Deutschland zu erreichen.

Die Frage, inwieweit ein Betreiber von WLAN-Internetzugängen für Rechtsverletzungen seiner Nutzer haften muss, war gesetzlich bislang nicht eindeutig geregelt. Die bisherigen Vorschriften des Telemediengesetzes, welche die Verantwortlichkeit von Diensteanbietern für fremde Informationen einschränken, schlossen die verschuldensunabhängige Inanspruchnahme dieser Betreiber auf Beseitigung oder Unterlassung von Rechtsverletzungen nach allgemeinen Vorschriften (sog. Störerhaftung) nicht aus. Insbesondere das Abmahnrisiko verblieb daher beim WLAN-Betreiber.

Diesem Zustand soll durch das Gesetz entgegengewirkt werden. Zukünftig soll die Haftung von Internetanschlussinhabern, die ihr WLAN Dritten zur Verfügung stellen, ausgeschlossen werden. Voraussetzung für diesen Haftungsausschluss ist, dass der Anschlussinhaber sein Netzwerk durch angemessene Vorkehrungen vor dem unberechtigten Zugriff Dritter schützt.

Der neu eingefügte § 8 Abs. 4 TMG stellt klar:

Diensteanbieter nach Absatz 3 [also WLAN-Betreiber]  können wegen einer rechtswidrigen Handlung eines Nutzers nicht auf Beseitigung oder Unterlassung in Anspruch genommen werden, wenn sie zumutbare Maßnahmen ergriffen haben, um eine Rechtsverletzung durch Nutzer zu verhindern.

Dies ist insbesondere der Fall, wenn der Diensteanbieter

1. angemessene Sicherungsmaßnahmen gegen den unberechtigten Zugriff auf das drahtlose lokale Netzwerk ergriffen hat und
2. Zugang zum Internet nur dem Nutzer gewährt, der erklärt hat, im Rahmen der Nutzung keine Rechtsverletzungen zu begehen.

Zur Auslegung der Voraussetzungen der Nr. 1 und Nr. 2 sollen dabei nach der Gesetzesbegründung die bisherigen, von der Rechtsprechung entwickelten Grundsätze im Sinne von Regelbeispielen aufgegriffen und fortentwickelt werden, um möglichst weitgehend Rechtssicherheit zu schaffen. Dabei sollen die von der Rechtsprechung für private WLAN-Anschlussinhaber entwickelten Grundsätze gleichermaßen für alle anderen Betreiber von WLAN gelten.

1. Angemessene Sicherungsmaßnahmen gegen den unberechtigten Zugriff auf das WLAN
Laut Gesetzesbegründung soll der Diensteanbieter die jeweils angemessene Sicherungsmaßnahme im Sinne der gebotenen Technologieneutralität der Betreiber selbst bestimmen. Hierfür komme insbesondere eine Verschlüsselung des Routers in Betracht, wie gegenwärtig in Form des WPA2-Standards. Möglich wäre aber auch eine freiwillige Registrierung der Nutzer.

2. Erklärung, im Rahmen der Nutzung keine Rechtsverletzungen zu begehen
Dem Diensteanbieter sei es außerdem zuzumuten sicherzustellen, dass der Nutzer nur dann Zugang zum Internet erhält, wenn er in die Bedingung eingewilligt hat, hierüber keine rechtswidrigen Handlungen zu begehen. Dies kann bei der Überlassung eines WLAN- Zugangs durch Nutzungsbedingungen erfolgen, denen der Nutzer vor dem Zugriff auf das Internet, möglichst durch Setzen eines Häkchens, ausdrücklich zustimmen muss.

Das Gesetz macht hier jedoch keine Vorgaben, so dass z.B. die Einwilligung auch durch Zustimmung zu veröffentlichten AGB, aus denen sich die Nutzungsbedingungen ergeben, erfolgen kann. Möglich sei auch die Einrichtung einer Vorschaltseite, auf der lediglich die Nutzungsbedingungen mit einem Klick akzeptiert werden könne.

Wir unterstützen Anbieter von WLAN-Hotspots gerne bei der gesetzmäßigen Einrichtung entsprechender Prozesse und der Gestaltung der notwendigen Vereinbarungen (z.B. Nutzungsbedingungen oder AGB).