201717.10.

Offenes WLAN und Störerhaftung – Die Reform des Telemediengesetzes (TMG)

Mit Inkrafttreten der letzten Änderung Telemediengesetzes zum 13. Oktober 2017 wurde WLAN-Betreibern (Diensteanbieter i.S.d. § 2 S.1 Nr. 1 TMG) die Öffnung des eigenen Netzwerks zur Nutzung durch Dritte erleichtert. Das bisher noch bestehende Kostenrisiko im Falle einer urheberrechtlichen Verletzung durch einen Dritten über den eigenen Anschluss wird durch die Reform auf eine auf einzelne Inhalte bezogene Sperrungspflicht reduziert, die nach einer (gem. §§ 7 Abs. 4 S.3; 8 Abs. 1 S. 2 TMG nicht kostenpflichtigen) Aufforderung des Rechteinhabers zu erfolgen hat. Dieser Grundsatz findet gem. § 8 Abs. 1 S. 3 TMG lediglich dann keine Anwendung, “wenn der Diensteanbieter absichtlich mit einem Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen“.

Der Referententwurf des Dritten Gesetzes zur Änderung des Telemediengesetzes (3. TMGÄndG) erlaubt einen Einblick in die Hintergründe des neuen Änderungsgesetzes. Dort werden das veranlassende Problem und das beabsichtigte Ziel der Gesetzesänderung ausführlich beschrieben. Bereits das Zweite Gesetz zu Änderung des Telemediengesetzes habe Betreibern von WLAN-Zugängen die notwendige Rechtssicherheit bringen wollen, um den eigenen Zugang Dritten anbieten zu können, “ohne dabei befürchten zu müssen, für Rechtsverstöße Dritter abgemahnt oder haftbar gemacht zu werden.” Den Anlass zur Gesetzesänderung hatte ein Urteil des EuGH in der Rechtssache Mc Fadden / Sony Music gegeben (Urteil des EuGH vom 15. Sep. 2016 – Az. C-484/14), das eine Beanspruchung des WLAN-Betreibers auf Schadensersatz für Rechtsverstöße Dritter ablehnte, zugleich aber den Behörden einen Spielraum zugestand, Anordnungen dahingehend zu verabschieden, dass Maßnahmen zur Verhinderung einer Wiederholung der Rechtsverletzung zu ergreifen seien. Als Lösung schlug bereits der Referentenentwurf vor, WLAN-Betreiber von der bestehenden Schadensersatzpflicht zu befreien und keine Maßnahmen, ausdrücklich auch keine Registrierungspflicht der Nutzer zur Nutzung des Netzwerks vorzusehen.

Die Sperrungspflicht des § 7 Abs. 4 S. 1 u. 2 TMG möchte einen Ausgleich zu den widerstreitenden Interessen der Rechteinhaber schaffen, falls ein solcher Anschluss genutzt wurde, “um das Recht am geistigen Eigentum eines anderen zu verletzen”. Bestehe für den Rechteinhaber keine andere Möglichkeit, der Urheberrechtsverletzung abzuhelfen, so könne er von dem betroffenen WLAN-Betreiber nach § 8 Abs. 3 “die Sperrung der Nutzung von Informationen verlangen, um die Wiederholung der Rechtsverletzung zu verhindern. Die Sperrung muss zumutbar und verhältnismäßig sein“.

Zu Einzelfragen, wie der Reichweite der vorzunehmenden Sperren, hat das Bundeswirtschaftsministerium ein informatives FAQ veröffentlicht.

§ 2 TMG, Begriffsbestimmungen

Im Sinne dieses Gesetzes

1. ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt; […]

§ 7 TMG, Allgemeine Grundsätze

[…]

(2) Diensteanbieter im Sinne der §§ 8 bis 10 sind nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

[…]

(4) Wurde ein Telemediendienst von einem Nutzer in Anspruch genommen, um das Recht am geistigen Eigentum eines anderen zu verletzen und besteht für den Inhaber dieses Rechts keine andere Möglichkeit, der Verletzung seines Rechts abzuhelfen, so kann der Inhaber des Rechts von dem betroffenen Diensteanbieter nach § 8 Absatz 3 die Sperrung der Nutzung von Informationen verlangen, um die Wiederholung der Rechtsverletzung zu verhindern. Die Sperrung muss zumutbar und verhältnismäßig sein. Ein Anspruch gegen den Diensteanbieter auf Erstattung der vor- und außergerichtlichen Kosten für die Geltendmachung und Durchsetzung des Anspruchs nach Satz 1 besteht außer in den Fällen des § 8 Absatz 1 Satz 3 nicht.

§ 8 TMG, Durchleitung von Informationen
(1) Diensteanbieter sind für fremde Informationen, die sie in einem Kommunikationsnetz übermitteln oder zu denen sie den Zugang zur Nutzung vermitteln, nicht verantwortlich, sofern sie

1. die Übermittlung nicht veranlasst,
2. den Adressaten der übermittelten Informationen nicht ausgewählt und
3. die übermittelten Informationen nicht ausgewählt oder verändert haben.

Sofern diese Diensteanbieter nicht verantwortlich sind, können sie insbesondere nicht wegen einer rechtswidrigen Handlung eines Nutzers auf Schadensersatz oder Beseitigung oder Unterlassung einer Rechtsverletzung in Anspruch genommen werden; dasselbe gilt hinsichtlich aller Kosten für die Geltendmachung und Durchsetzung dieser Ansprüche. Die Sätze 1 und 2 finden keine Anwendung, wenn der Diensteanbieter absichtlich mit einem Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen.

(2) Die Übermittlung von Informationen nach Absatz 1 und die Vermittlung des Zugangs zu ihnen umfasst auch die automatische kurzzeitige Zwischenspeicherung dieser Informationen, soweit dies nur zur Durchführung der Übermittlung im Kommunikationsnetz geschieht und die Informationen nicht länger gespeichert werden, als für die Übermittlung üblicherweise erforderlich ist.

(3) Die Absätze 1 und 2 gelten auch für Diensteanbieter nach Absatz 1, die Nutzern einen Internetzugang über ein drahtloses lokales Netzwerk zur Verfügung stellen.

(4) Diensteanbieter nach § 8 Absatz 3 dürfen von einer Behörde nicht verpflichtet werden,

1. vor Gewährung des Zugangs
a) die persönlichen Daten von Nutzern zu erheben und zu speichern (Registrierung) oder
b) die Eingabe eines Passworts zu verlangen oder

2. das Anbieten des Dienstes dauerhaft einzustellen.

Davon unberührt bleibt, wenn ein Diensteanbieter auf freiwilliger Basis die Nutzer identifiziert, eine Passworteingabe verlangt oder andere freiwillige Maßnahmen ergreift.

201513.08.

IT-Sicherheitsgesetz: Neue Pflichten für Anbieter im eCommerce

Am 12.06.2015 hat der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz) verabschiedet (siehe Blogartikel dazu), das am 01.08.2015 in Kraft getreten ist.

Neben Vorgaben für sog. kritischer Infrastrukturen wie Banken, Energieversorger oder Krankenhäuser bringt das Gesetz durch die Einführung des neuen § 13 Abs. 7 Telemediengesetz auch eine Änderung der Rechtslage für Anbieter von Telemedien, also z.B. für Onlineportale und Shops oder Apps.

Der neue § 13 Abs. 7 TMG lautet wie folgt:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.


Anwendungsbereich

Anwendung findet diese neue Vorschrift auf “Diensteanbieter von geschäftsmäßig angebotenen Telemedien”. Ohne hier ins Detail zu gehen ist davon auszugehen, dass lediglich nicht-kommerzielle Angebot durch Private oder Idealvereine vom Anwendungsbereich der Norm ausgenommen sind. Sofern im Rahmen des Telemediums Werbung angeboten wird, wird allerdings von einer “geschäftsmäßigen” Handlung auszugehen sein.


Technische Pflichten für Diensteanbieter

§ 13 Abs. 7 Nr. 1: Maßnahmen gegen unerlaubten Zugriff
Betreiber von eCommerce Angeboten haben sicherzustellen, dass kein unerlaubter Zugriff auf ihre technischen Einrichtungen möglich ist. Die Gesetzesbegründung führt dazu aus, dass die Regelung zum Beispiel darauf abzielt “das unbemerkte Herunterladen [von Schadcode] allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sog. Drive-by-Downloads)” zu verhindern. In diesem Zusammenhang wird weiter ausgeführt dass das „Einspielen von Sicherheitspatches” zahlreiche dieser Drive-by-Downloads verhindern könnte.

Demnach kann angenommen werden, dass der Gesetzgeber hier eine abstrakte Pflicht zum Einspielen von Patches normiert.

Interessant und relevant für die B2B Vertragsgestaltung im eCommerce ist, dass die Diensteanbieter nach der Gesetzesbegründung auch dazu verpflichtet werden, ihre Werbedienstleister vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten, um zu verhindern, dass Drive-by-Downloads durch Dritte ermöglicht werden.

§ 13 Abs. 7 Nr. 2: Maßnahmen zum Schutz personenbezogener Daten
Der Diensteanbieter muss zudem sicherstellen, dass seine technischen Einrichtungen gegen „Verletzungen des Schutzes personenbezogener Daten” gesichert sind. Dies soll nach § 13 Abs. 7 Satz 3 TMG gegeben sein, sofern ein als sicher anerkanntes Verschlüsselungsverfahren eingesetzt wird. Bezüglich der Frage, was als „sicher anerkannt” ist, wird man sich an den jeweils aktuellen Vorgaben des Bundesamts für Sicherheit in der Informationstechnologie orientieren können.

Das Wort “insbesondere” in § 13 Abs. 7 Satz 3 TMG zeigt jedoch auf, dass die Verschlüsslung nicht das einzige zulässige Verfahren ist, um den Zweck des § 13 Abs. 7 Nr. 2 TMG zu erreichen. Denkbar sind laut der Gesetzesbegründung etwa auch Authentifizierungsverfahren.

Demnach normiert die Regelung keine generelle Pflicht zur Verschlüsslung.

 § 13 Abs. 7 Nr. 3: Maßnahmen zum Schutz gegen äußere Störungen
Schließlich werden Diensteanbieter dazu verpflichtet, Maßnahmen zum Schutz „gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind” einzurichten. Hintergrund wird wohl der Schutz vor DDoS-Angriffen sein. Details hierzu nennt die Gesetzesbegründung allerdings nicht.

Technische Realisierbarkeit und wirtschaftliche Zutmutbarkeit

Die gesetzlichen Vorgaben zur Sicherheit stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar” sein müssen. Diese Einschränkung ist vom Grundsatz her sehr sinnvoll, stellt sich aber in dieser Form als recht unbestimmt dar. Die Norm wird, sofern sie nicht wegen der unbestimmten Verpflichtungen sogar verfassungswidrig ist, der Auslegung durch die Rechtsprechung bedürfen. Rechtssicherheit durch konkrete Vorgaben für die für Diensteanbieter wird durch das Gesetz nicht erreicht.

Rechtsfolgen bei Verstößen: Bußgelder und wettbewerbsrechtliche Abmahnung?

Als Rechtsfolge bei Verstößen gegen § 13 Abs. 7 Nr. 1 a) TMG sieht das Gesetz Bußgelder von bis zu 50.000,00 EUR vor, § 16 Abs. 2 Nr. 3 TMG. Die zuständigen Landesbehörden als Bußgeldstellen sind jedoch bislang nicht dafür bekannt, bei Verstößen gegen das Telemediengesetz besonders aktiv zu sein.

Interessanter ist die Frage nach dem wettbewerbsrechtliche Charakter der Norm als Marktverhaltensregelung. Nimmt man an, dass § 13 Abs. 7 TMG eine solche Marktverhaltensregelung ist, könnten Wettbewerber oder Wettbewerbsverbände/Verbaucherschützer auf Grundlage von §§ 3,4 Nr. 11 UWG gegen Verstöße gegen § 13 Abs. 7 TMG vorgehen. Gründe für eine solche Annahme liegen nahe, denn das Gesetz bezweckt gerade, einen, wenn auch recht unbestimmten, technischen Mindeststandard für geschäftsmäßige Telemedien zu etablieren. Mit guten Gründen lässt sich also vertreten, dass die Norm damit bezweckt, das Verhalten auf dem Markt zu regeln.