2 / Infobrief Recht. Host-Provider: Risikoreiche Gastgeberrolle?

Transkript

1 Infobrief Recht 2 / 2011 April 2011 Host-Provider: Risikoreiche Gastgeberrolle? Datenschutz: Elektronische Einwilligung ist nicht gleich elektronische Einwilligung. Vereinigung macht stark: Vorteile und Voraussetzungen für einen Gesamtvertrag mit der GEMA.

2 DFN-Infobrief Recht 2 / 2011 Seite 2 Host-Provider Risikoreiche Gastgeberrolle? Vom Hosten und Haften. Dipl. Jur. Eva-Maria Herring Wie ist die derzeitige Rechtslage? Welche Rechtsgrundlagen gelten? Besteht ein Haftungsrisiko und wie hoch ist es? Der folgende Beitrag liefert einen Überblick über die rechtlichen Vorgaben, die es bei der Bereitstellung von Speicherplatz für fremde Inhalte zu beachten gilt. Dies betrifft Hochschulen, wenn sie beispielsweise für private Seiten von Studierenden oder für studentische Initiativen Speicherplatz auf den hochschuleigenen Servern anbieten. Aber auch bei Newsgroups bzw. Diskussionsforen wird innerhalb eines eigenen Webangebots Speicherplatz für fremde Inhalte bereitgestellt. Im Blickpunkt des folgenden Beitrags steht die Haftungsbeschränkung des 10 TMG, da diese hinsichtlich ihrer Voraussetzungen bzw. ihres Umfangs einige Rechtsunsicherheit hervorruft. I. Rechtliche Rahmenbedingungen 1. Grundsatz der Nichtverantwortlichkeit Das reine Bereitstellen von Speicherplatz, das Hosting, kann praktisch sehr verschieden ausgestaltet sein: von der bloßen Überlassung von Speicher- und Leitungskapazität, über die aktive Betreuung einer Website bis hin zur Moderation einer Newsgroup. Im Kern handelt es sich beim Hosting aber um eine technische Dienstleistung. Diesem Umstand wurde auch bei der Ausgestaltung der gesetzlichen Grundlagen Rechnung getragen, indem man in 10 TMG eine Haftungsprivilegierung für Anbieter von Hosting-Diensten normiert hat. Danach sind Diensteanbieter nicht für fremde Inhalte verantwortlich, die sie für einen Nutzer speichern. Vielmehr trägt derjenige die Verantwortung, der den Inhalt auf dem ihm zur Verfügung gestellten Speicherplatz anbietet. Hochschulen können demzufolge nicht für private Homepages von Studierenden haften, die auf dem Sever des Rechenzentrums hinterlegt sind. Ebenso können sie nicht für Beiträge in Newsgroups zur Verantwortung gezogen werden, sofern die Inhalte auf eigenen Servern der Rechenzentren gespeichert werden. Verantwortlich ist also immer nur derjenige Student, der den Beitrag verfasst hat. Dies gilt aber nur dann, wenn der Anbieter keine (positive) Kenntnis von der rechtswidrigen Handlung oder Information hat. Nach Kenntnis muss er unverzüglich tätig werden. Andernfalls greift die Privilegierung des 10 TMG zugunsten des Diensteanbieters nicht mehr ein. Unklar war bislang, ob bereits die Kenntnis des Diensteanbieters von der Information oder Handlung als solcher zur Nichtanwendbarkeit der Privilegierung führt oder erst die positive Kenntnis von deren Rechtswidrigkeit. Der Grund, warum zum Teil auch die Kenntnis der Rechtswidrigkeit gefordert wird, liegt darin, dass es im Internet oftmals schwierig ist, Rechtsverstöße als solche zu erkennen. Vor allem, wenn nicht bereits die Information an sich, sondern lediglich die diesbezüglich vorgenommene Handlung rechtswidrig ist. Beispielsweise bedeutet die bloße Tatsache, dass ein Rechenzentrumsmitarbeiter eine Newsgroup gesichtet hat, noch nicht, dass er deren Inhalt richtig, d. h. als Rechtsverstoß, bewerten kann. Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom (Rs. C-236/08) nunmehr für Klarheit gesorgt: Host-Provider sind für Daten, die sie im Auftrag eines Nutzers speichern, nicht verantwortlich. Es sei denn, sie haben Informationen nicht unverzüglich entfernt oder den Zugang zu ihnen gesperrt, nachdem sie Kenntnis von der Rechtswidrigkeit dieser Information oder den Tätigkeiten des Nutzers erlangt haben. Damit steht jetzt endgültig fest, dass der Host-Provider positive Kenntnis im Hinblick auf die Rechtswidrigkeit der Information oder Handlung haben muss. Wie der Host-Provider von der Rechtsverletzung erfahren hat, ist hingegen unerheblich. Der Bundesgerichtshof (BGH) hat sich in einem Urteil vom (I ZR 69/08) den Ausführungen des EuGH angeschlossen. Auch er geht davon aus, dass die Haftungsprivilegierung des Host-Providers nach 10 TMG solange besteht, wie keine positive Kenntnis von der Rechtswidrigkeit der von ihm für den Nutzer bereitgehaltenen Information vorliegt. Festzuhalten ist somit, dass die Kenntnis nach 10 Satz 1 Nr. 1 TMG sich nicht nur auf die Existenz, sondern auch auf die Rechtswidrigkeit der Information oder Handlung eines Nutzers innerhalb eines Internetdienstes bezieht. Aus dem Wortlaut von 10 Satz 1 Nr. 1 TMG ergibt sich, dass im Falle von Schadensersatzansprüchen sogar die grob fahrlässige Unkenntnis ausreicht, um das Haftungsprivileg entfallen zu lassen. Der Diensteanbieter darf demzufolge keine Kenntnis von Tatsachen oder Umständen haben, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Wenn er sich also grob fahrlässig den Tatsachen verschließt, die auf eine Rechtsverletzung hindeuten und konkrete Hinweise auf Rechtsverletzungen missachtet, macht er sich schadensersatzpflichtig. Eine allgemeine Überwachungsoder Nachforschungspflicht trifft ihn dagegen nicht (vgl. 7 Abs. 2 TMG). Um zivilrechtlichen Ersatzansprüchen vorzubeugen, ist es daher wichtig, durch eine geeignete Organisation sicherzustellen, dass eingehende Hinweise auf rechtswidrige Inhalte jederzeit an den zuständigen Mitarbeiter weitergeleitet werden, der in der Lage ist, die entsprechenden Inhalte umgehend zu sperren. Von einem außenstehen-

3 DFN-Infobrief Recht 2 / 2011 Seite 3 den Hinweisgeber kann nämlich nicht verlangt werden, die interne Organisation zu beachten und das Schreiben unmittelbar an den zuständigen Mitarbeiter zu adressieren. Ausreichend ist vielmehr ein Schreiben an das Rechenzentrum. Wird derartigen Hinweisen nicht hinreichend nachgegangen, setzt sich die Hochschule der Gefahr aus, dass sie für fremde Inhalte genauso wie für einrichtungseigene Inhalte haftet, obwohl sie auf die inhaltliche Gestaltung keinen Einfluss hatte. Hier baut sich ein enormes Haftungsrisiko auf, das mit relativ einfachen organisatorischen Maßnahmen vermieden werden kann. Trotz der Klarstellung hinsichtlich des Kenntniserfordernisses, hat der EuGH in der gleichen Entscheidung weitere Ausführungen gemacht, die erneut zu Rechtsunsicherheit hinsichtlich der Reichweite der Haftung von Host-Providern geführt haben. 2. Eigene oder fremde Inhalte der Hochschule? Entscheidend für die Nichtverantwortlichkeit der Hochschule ist, dass aus den Gesamtumständen ersichtlich ist, dass es sich nicht um ein eigenes Angebot der Hochschule handelt. Denn der Provider ist nach 10 TMG nur für fremde Inhalte nicht verantwortlich. Handelt es sich dagegen um eigene Inhalte, übernimmt der Provider vollumfänglich die Verantwortung für die auf der Internetseite veröffentlichten Informationen. Schwierigkeiten bereitet eine Abgrenzung von fremden und eigenen Inhalten beispielsweise dann, wenn private Seiten von Studierenden im Corporate-Design der Hochschule ohne Impressum angeboten werden, aus dem die Anbietereigenschaft des Studierenden hervorgeht. Wenn eine Hochschule als Hosting-Anbieter auftritt, sollte sie daher stets auf eine hinreichende Trennung von eigenen und fremden Inhalten hinwirken. Sonst besteht das Risiko, dass die Haftungsbeschränkung in 10 TMG keine Anwendung findet. Fremd ist ein Inhalt nach Auffassung des EuGH nur dann, wenn der Host-Provider als bloßer Vermittler auftritt. Als Vermittler sieht der EuGH nur denjenigen an, dessen Tätigkeit rein technisch, automatisch und passiv ist. Er darf also weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzen. Was im Einzelnen unter Kenntnis oder Kontrolle zu verstehen ist, bleibt nebulös. Vielmehr überlässt der EuGH die inhaltliche Ausgestaltung dieser neuen Voraussetzungen bewusst den nationalen Gerichten. Der BGH hat sich in seinem Urteil nicht nur den Ausführungen des EuGH zum Kenntniserfordernis angeschlossen, sondern auch die problematischen Aussagen zur passiven Rolle des Diensteanbieters übernommen. Insofern kommt das bisher umstrittene Merkmal der Kenntnis von der Rechtswidrigkeit erst zum Tragen, nachdem die passive Rolle des Host-Providers festgestellt wurde. Eine solche liegt nur vor, wenn der Host-Provider die fragliche Information weder kontrolliert noch Kenntnis davon hat. Da der Begriff des Vermittlers im Gesetz an keiner Stelle Anklang findet, bedarf es hier zukünftig einer Auslegung durch die Gerichte. Entscheidend wird sicherlich sein, wer letztendlich die tatsächliche und rechtliche Herrschaft über die Information besitzt: Nutzer oder Anbieter? Für eine aktive Rolle des Host-Providers wird die Tatsache, dass er einzelne vom Nutzer stammende Informationen löschen oder sperren kann und sich dieses Recht in den Nutzungsbedingungen vorbehält, nicht ausreichend sein. Denn wenn er Kenntnis von der Rechtswidrigkeit der Informationen oder der Handlung des Nutzers erlangt, wird diese Reaktion ja gerade in 10 TMG von ihm gefordert. Relevant sind vielmehr die konkret getroffenen Vereinbarungen, die Art und Umfang der Berechtigung in Bezug auf gespeicherte Inhalte festlegen. Lässt sich der Anbieter weitreichende Rechte übertragen, liegt es nahe, dass nicht mehr der Nutzer, sondern der Anbieter das Recht hat, zu bestimmen, wie die vom Nutzer eingegebenen Inhalte verwendet werden dürfen. 3. Ausnahme: Haftung auf Unterlassen trotz Nichtverantwortlichkeit Die Haftungsprivilegierung in 10 Satz 1 Nr. 1 TMG gilt nach ständiger Rechtsprechung des BGH nicht für Unterlassungsansprüche. Sie bezieht sich ausschließlich auf die verschuldensabhängige Haftung und die strafrechtliche Verantwortlichkeit des Providers. Diese Auffassung wird auch durch die Regelung des 7 Abs. 2 Satz 2 TMG unterstützt, wonach der Diensteanbieter zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen verpflichtet bleibt. Als solches allgemeines Gesetz kommt die sogenannte Störerhaftung entsprechend der 823 Abs. 1, 1004 BGB in Betracht. Danach kann jeder, der in irgendeiner Weise willentlich und adäquat-kausal zur Verletzung des geschützten Rechts beiträgt, zur Beseitigung und Unterlassung herangezogen werden. Durch das Zurverfügungstellen von Speicherplatz für rechtswidrige Inhalte ermöglicht der Host-Provider den Zugang zu diesen Informationen und leistet somit einen ursächlichen Beitrag zur Rechtsverletzung. Damit sich der Host-Provider, der die rechtswidrige Beeinträchtigung gerade nicht selbst wissentlich vorgenommen hat, nicht einem ausufernden Haftungsrisiko gegenübersieht, setzt die Haftung zusätzlich noch eine Verletzung von Prüfungspflichten voraus. Welchen Umfang entsprechende Pflichten einnehmen, hängt im Wesentlichen davon ab, ob und inwieweit dem Anbieter eine solche Prüfung zumutbar ist. Das wiederum wird maßgeblich durch die Umstände des Einzelfalls bestimmt. Abhängig von der konkreten Art der Dienstleistung kann folglich ein unterschiedliches Maß an zumutbaren Prüfungspflichten entstehen. Unter anderem sind folgende Faktoren bei der Bestimmung der Intensität der Prüfungspflichten zu berücksichtigen: der zu treibende Aufwand, der zu erwartende Erfolg und der Aspekt, dass der Betreiber wirtschaftliche Vorteile mit dem Angebot

4 DFN-Infobrief Recht 2 / 2011 Seite 4 seiner Dienste verbindet. Insbesondere wird die Kenntnis von den Rechtsverletzungen die Frage der Zumutbarkeit bedingen. Denn allein der Umstand, dass ein Host-Provider die Architektur zur Verfügung stellt, mit deren Hilfe die Nutzer selbständig Angebote im Internet bereitstellen, vermag eine Prüfungspflicht nicht zu begründen. Anderenfalls bestünde eine so weitgehende Prüfungspflicht, dass die Geschäftsmodelle der meisten Host-Provider in ihrem Bestand gefährdet werden. Demzufolge darf auch die Störerhaftung nicht kenntnisunabhängig eingreifen. Erfolgt jedoch ein konkreter Hinweis auf eine eindeutige Rechtsverletzung, trifft den Anbieter die Pflicht, die entsprechenden Inhalte zu löschen und darüber hinaus zu verhindern, dass diese Inhalte wieder bei ihm gespeichert werden. Zusätzlich muss der Host-Provider dafür Sorge tragen, dass es künftig möglichst nicht zu weiteren gleichartigen Rechtsverletzungen kommt. Eine proaktive Prüfpflicht ist dagegen abzulehnen. Aus 7 Abs. 2 S. 1 TMG folgt, dass gerade keine Verpflichtungen zur Nachforschung oder Überwachung bestehen. Anmerkung: Für weitere Informationen siehe auch: Rechtsguide IV Bereitstellung von Speicherplatz für fremde Inhalte II. Zusammenfassung der aktuellen Lage Im Ergebnis lassen sich folgende Punkte bezüglich der Host-Provider-Haftung festhalten: Es besteht nunmehr Rechtsklarheit, dass erst die Kenntnis der Rechtswidrigkeit der betreffenden Information oder Handlung zum Ausschluss der Haftungsbeschränkung nach 10 Satz 1 Nr. 1 TMG führt. Zu weiterer Verunsicherung führt jedoch das Erfordernis, dass der Host-Provider in Bezug auf die rechtswidrigen Vorgänge keine aktive Rolle spielen darf. Dieser Begriff findet im Gesetz keinen direkten Anknüpfungspunkt und so bleibt (noch) abzuwarten, welche Anforderungen die Rechtsprechung genau an die Kenntnis und Kontrolle in diesem Sinne stellen wird. Um das Haftungsrisiko der Hochschule so gering wie möglich zu halten, sollte für den Fall, dass konkrete Hinweise auf rechtsverletzende Inhalte gegenüber der Universität geäußert werden, umgehend das Justiziariat zur weiteren Prüfung eingeschaltet und der fragliche Inhalt vorsichtshalber bis zur Klärung gesperrt werden. Zudem sollten Vorsorgemaßnahmen getroffen werden, die effektiv weitere Rechtsverletzungen verhindern. Zu denken wäre hier beispielsweise an den Einsatz von Filtersoftware (z. B. Keywordfilter). Auch manuelle Nachkontrollen können im Einzelfall als zumutbare Maßnahmen gegen Rechtsverletzungen angesehen werden, wenn automatische Filtervorrichtungen lückenhaft sind und Rechtsverletzungen nicht ausschließen können. Im Hochschulbereich wird die Schwelle der Zumutbarkeit wohl dann überschritten sein, wenn zusätzliches Personal für die Kontrolle eingestellt werden müsste.

5 DFN-Infobrief Recht 2 / 2011 Seite 5 Die datenschutzrechtliche Einwilligung im Internet Elektronische Einwilligung ist nicht gleich elektronische Einwilligung Dipl.-Jur. Patricia Maria Rogosch Das deutsche Datenschutzrecht ermöglicht es, Einwilligungen, die bei der Verwendung des Internets anfallen, elektronisch zu erteilen. Problematisch in diesem Zusammenhang ist jedoch, dass drei Arten elektronischer Einwilligungen existieren, die begrifflich identisch, ihrer Voraussetzung nach jedoch unterschiedlich sind. Dieser Beitrag soll darstellen, wann welche elektronische Einwilligung zum Tragen kommt und welche Voraussetzungen jeweils erforderlich sind. I. Einführung Zentrales Prinzip des deutschen Datenschutzrechts ist das Verbot mit Erlaubnisvorbehalt. Der Umgang mit personenbezogenen Daten, also ihre Erhebung, Verarbeitung und Nutzung, ist grundsätzlich verboten. Zulässig ist ein solcher Umgang nur, wenn eine Rechtsvorschrift ihn erlaubt oder anordnet oder der Betroffene seine Einwilligung erteilt. Die Einwilligung stellt dabei den genuinen Ausfluss des Rechts auf informationelle Selbstbestimmung dar. Der Betroffene selbst soll bestimmen, was mit seinen personenbezogenen Daten geschieht und wer was wann über ihn weiß. Damit der Betroffene jedoch in der Lage ist, die Tragweite seiner Entscheidung zu überschauen, hat der Gesetzgeber Anforderungen an den Inhalt und den Vorgang der Einwilligung geschaffen. Zu den Voraussetzungen der datenschutzrechtlichen Einwilligung zählt insbesondere auch das Formerfordernis. Grundsätzlich bedarf die Einwilligung der Schriftform. Allerdings ist für den Online-Bereich die Möglichkeit einer Einwilligung geschaffen worden, welche die Besonderheiten der elektronischen Kommunikation geeignet berücksichtigt. Es handelt sich dabei um die Möglichkeit, die Einwilligung elektronisch zu erteilen. Ziel der elektronischen Einwilligung ist unter anderem die Verhinderung eines Medienbruchs zur Erzielung einer schnellen, unkomplizierten und unmittelbaren Kommunikation. Dieser Beitrag setzt sich mit der Form der Einwilligung auseinander. Er soll veranschaulichen, wann bei der Nutzung des Internets auf eine elektronische Einwilligung zurückgegriffen werden kann und welche Anforderungen an die elektronische Einwilligung zu stellen sind. Es ist wichtig, dass der verantwortlichen Stelle bewusst ist, dass die Voraussetzungen an die elektronische Einwilligung stark mit dem jeweils anwendbaren Gesetz zusammenhängen. Auch wenn in jedem Fall von einer elektronischen Einwilligung die Rede ist, stellen Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und einige Landesdatenschutzgesetze (DSG) unterschiedliche Anforderungen an diese auf. Welches Gesetz zum Tragen kommt, hängt von der verantwortlichen Stelle ab. Ist sie Diensteanbieter im Sinne des TMG beziehungsweise des TKG, so findet das TMG respektive das TKG Anwendung. Handelt es sich bei der verantwortlichen Stelle um eine öffentliche Stelle des Landes, so ist das zugehörige Landesdatenschutzgesetz anwendbar. In allen anderen Fällen ist auf das BDSG zurückzugreifen. II. Grundsatz der Schriftform Die datenschutzrechtliche Einwilligung bedarf grundsätzlich der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist, 4a Abs. 1 S. 3 BDSG. Der Betroffene muss die Einwilligung schriftlich festhalten und eigenhändig unterzeichnen. Ein Verstoß gegen die Schriftform führt zur Nichtigkeit der Einwilligung und damit zur Unzulässigkeit des Umgangs mit den personenbezogenen Daten. Die Schriftform bezweckt eine Warn- und Schutzfunktion für den Betroffenen und eine Beweisfunktion für die verantwortliche Stelle. Der Betroffene soll nicht übereilt einwilligen, sondern sich über die Folgen der Einwilligung bewusst werden. Der verantwortlichen Stelle soll sie den Nachweis ermöglichen, dass der Betroffene tatsächlich eingewilligt hat. III. Elektronische Einwilligung nach dem BDSG Das BDSG enthält keine ausdrückliche Bestimmung hinsichtlich der Verwendung der elektronischen Form. Dennoch kann die Schriftform durch eine elektronische Form gemäß 126a BGB (Bürgerliches Gesetzbuch) ersetzt werden. Danach muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen. Nach dem Signaturgesetz sind qualifizierte elektronische Signaturen Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder mit ihnen verknüpft sind, und die zur Authentifizierung dienen. Dabei muss sichergestellt sein, dass sie ausschließlich dem Signaturschlüsselinhaber zugeordnet sind, die Identifizierung des Signaturschlüsselinhabers ermöglichen, mit Mitteln erzeugt werden, die der Signaturschlüsselinhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann,

6 DFN-Infobrief Recht 2 / 2011 Seite 6 auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt werden. Auch wenn das BDSG die Möglichkeit einer elektronischen Einwilligung anbietet, so hat sich diese mangels Praktikabilität und aufgrund der hohen Anforderungen des Signaturgesetzes noch nicht durchgesetzt und beschränkt sich nur auf Einzelfälle. IV. Elektronische Einwilligung nach dem TMG bzw. TKG Neben der elektronischen Einwilligung nach dem BDSG regeln sowohl das TMG als auch das TKG die Möglichkeit einer elektronischen Einwilligung. Das heißt, die Einwilligung kann neben der Schriftform auch elektronisch erklärt werden. Diese elektronische Einwilligung stellt eine Erleichterung gegenüber 4a Abs. 1 Satz 3 BDSG dar. Die in 13 Abs. 2 TMG und in 94 TKG enthaltenen Regelungen sind im Gegensatz zu der elektronischen Einwilligung nach dem BDSG technikneutral gehalten. Sie verlangen kein besonderes Verfahren nach dem Signaturgesetz. Die Einwilligung kann vielmehr mittels Web-Formular, oder aber auch mittels Telefax eingeholt werden. Trotz der Technikneutralität sind die in 13 Abs. 2 TMG und 94 TKG normierten Voraussetzungen einzuhalten. Die verantwortliche Stelle muss demnach sicherstellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Die bewusste und eindeutige Erteilung der Einwilligung stellt den Schutz der Nutzer vor einer übereilten Einwilligung sicher. Sie liegt dann vor, wenn ein durchschnittlich verständiger Nutzer erkennen kann, dass er rechtsverbindlich einer Erhebung, Verarbeitung oder Nutzung seiner Daten zustimmt. Bei den konkreten Gestaltungsanforderungen sind die besonderen technikspezifischen Gefahren der elektronischen Einwilligung, nämlich die Anwendung eines flüchtigen Mediums wie eines Bildschirms und das Handeln durch einfachen Tastendruck oder Mausklick, das nicht zwischen wichtigen oder unwichtigen Handlungen unterscheidet, zu berücksichtigen. Die jederzeitige Abrufbarkeit und Protokollierung verlangt keine unbegrenzte Speicherung und Zugänglichmachung der Einwilligung. Erforderlich ist lediglich, dass sich die Einwilligung auf den gesamten Zeitraum des Bestehens des Vertragsverhältnisses über die Inanspruchnahme des Dienstes bezieht. Es ist ausreichend, wenn die verantwortliche Stelle einen standardisierten Einwilligungstext bereithält. Ändert sich der Einwilligungstext, so hat die verantwortliche Stelle sicherzustellen, dass neben der aktuellen auch die vorherigen Einwilligungserklärungen zur Verfügung gestellt werden, solange es noch Nutzer gibt, die einer der älteren Einwilligungserklärungen zugestimmt haben. Diese Form der elektronischen Einwilligung findet aufgrund ihrer Geeignetheit eine breite Anwendung in der Praxis. V. Elektronische Einwilligung nach den Landesdatenschutzgesetzen Bei den Landesdatenschutzgesetzen von Bayern, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen- Anhalt und Thüringen hat die Einwilligung schriftlich zu erfolgen. Die Schriftform kann durch die elektronische Form nach 126a BGB substituiert werden. Diese muss in einer qualifizierten elektronischen Form, wie sie bereits für das BDSG dargestellt worden ist, erfolgen. Die Landesdatenschutzgesetze von Baden-Württemberg, Berlin, Brandenburg, Nordrhein-Westfalen und Schleswig-Holstein gewähren darüber hinaus die Möglichkeit einer weiteren inhaltlich abweichenden elektronischen Einwilligung. Eine solche elektronische Einwilligung ist möglich, wenn sichergestellt ist, dass sie nur durch eine eindeutige und bewusste Handlung der handelnden Person erfolgen kann, sie nicht unerkennbar verändert werden kann, ihr Urheber erkannt werden kann, die Einwilligung bei der verarbeitenden Stelle protokolliert wird und der betroffenen Person jederzeit Auskunft über den Inhalt ihrer Einwilligung gegeben werden kann. Neben den Voraussetzungen, die bei der elektronischen Einwilligung nach dem TMG beziehungsweise TKG verlangt werden, fordert die elektronische Einwilligung nach den oben genannten Landesdatenschutzgesetzen zwei weitere Zulässigkeitsvoraussetzungen. Die Einwilligung darf nicht unerkennbar verändert (Integrität) und ihr Urheber muss erkannt (Authentizität) werden. Sowohl bei der Integrität als auch bei der Authentizität handelt es sich um Anforderungen, bei denen die Abgabe der elektronischen Einwilligung mittels einer digitalen Signatur erfolgen muss. Problematisch hierbei ist, wie bei der elektronischen Einwilligung nach dem BDSG, dass sich das elektronische Signaturverfahren noch nicht sehr verbreitet hat, sodass sein Anwendungsbereich sehr gering ist. VI. Fazit Anhand der Darstellung wird deutlich, dass im deutschen Datenschutzrecht drei verschiedene elektronische Einwilligungen vorhanden sind. Sie führen eine identische Bezeichnung, weisen jedoch unterschiedliche Voraussetzungen auf. Deshalb ist es besonders wichtig zu ermitteln, welches Gesetz und damit auch welche Art der elektronischen Einwilligung anwendbar ist, damit die richtigen Anforderungen eingehalten werden und die Einwilligung nicht unzulässig wird. Um für den Anwender eine gewisse Rechtssicherheit zu erzeugen, wäre es wünschenswert, eine einheitliche Form der elektronischen Einwilligung zu schaffen. Im bestehenden Datenschutzrecht ist elektronische Einwilligung eben nicht gleich elektronische Einwilligung.

7 DFN-Infobrief Recht 2 / 2011 Seite 7 Vereinigung macht stark Die Vorteile und Voraussetzungen zum Abschluss eines Gesamtvertrages zwischen der GEMA und einer Vereinigung Rechtsanwalt Christoph Golla, LL.M. Die Gema ist als Verwertungsgesellschaft dazu verpflichtet, jedem die Rechte an den von ihr verwalteten Werken einzuräumen. Diese Rechte kann jede Einzelperson für sich erwerben. Für eine Vereinigung von Personen sieht das Urheberrechtswahrnehmungsgesetz jedoch auch die Möglichkeit vor, dass ein Gesamtvertrag abgeschlossen werden kann. Vorteil eines solchen Vertrages ist es, dass die GEMA aufgrund des gesparten Verwaltungsaufwands bis zu 20% Rabatt auf ihre Tarife einräumt. I. Einleitung Innerhalb von Hochschulen finden fast täglich Veranstaltungen statt, bei denen bestimmte Musikwerke oder Bühnenwerke aufgeführt werden. Um diese Werke der Öffentlichkeit zu präsentieren, bedarf es einer Rechteeinholung über die GEMA. Die GEMA als Verwertungsgesellschaft im Sinne des Urheberrechtswahrnehmungsgesetzes (UrhWG) nimmt die Verwertungsrechte für eine Vielzahl von Urhebern war. Jeder, der zum Beispiel Musik nutzen will, hat die Möglichkeit, Verwertungsrechte über die GEMA einzuholen und die Musik zu bestimmten Zwecken zu nutzen. Die GEMA ist dabei einem sogenannten Abschlusszwang verpflichtet. Dies bedeutet, dass sie aufgrund der von ihr wahrgenommenen Rechte jedem auf Verlangen Nutzungsrechte zu angemessenen Bedingungen einräumen muss. Ein solcher Einzelvertrag stellt den Normalfall der Rechtevergabe bei der GEMA dar. II. Abschluss eines Gesamtvertrages Das UrhWG sieht jedoch auch die Möglichkeit vor, einen so genannten Gesamtvertrag abzuschließen. Ein solcher Vertrag bietet einer Vereinigung, hinter der eine Vielzahl von Nutzern steht, die Möglichkeit, Rabatte bei den Tarifen der GEMA zu erhalten. Ein solcher Abschluss wäre für Kulturgruppen an Hochschulen, welche mit Musik oder mit Bühnenwerken arbeiten, interessant. Die Einholung von Nutzungsrechten würde in zwei Stufen ablaufen: Zunächst wird ein Gesamtvertrag zwischen GEMA und Vereinigung abgeschlossen Im Anschluss daran kann dann jeder Einzelverwerter in der Vereinigung einen Einzelvertrag auf Basis des Gesamtvertrages abschließen, dessen Bedingungen durch den Gesamtvertrag vorgegeben sind. Im Ergebnis bedeutet dies für die GEMA einen geringeren Verwaltungsaufwand, wodurch sie ihre Kosten senken und günstigere Tarife anbieten kann. III. Unzumutbarkeitsregel Die GEMA kann einen Gesamtvertrag jedoch auch ablehnen, wenn ihr der Abschluss eines solchen Vertrages nicht zuzumuten ist. Es sollen nach dem Sinn des Gesetzes nur dann Gesamtverträge abgeschlossen werden, wenn dies zweckmäßig und möglich erscheint, um den Verwaltungsaufwand zu vereinfachen. Abgelehnt werden kann ein Gesamtvertrag, wenn mit einer spürbaren Erleichterung des Inkassos und der Kontrolle auf Seiten der GEMA nicht zu rechnen ist. Ein solcher Ablehnungsgrund liegt insbesondere vor, wenn die Mitgliederanzahl innerhalb der Vereinigung zu gering ist. Über die ausreichende Anzahl von Mitgliedern innerhalb einer Vereinigung hat es bereits mehrere Streitigkeiten, auch vor Gerichten, gegeben. Im Ergebnis kann von einer Mindestanzahl von Personen ausgegangen werden, damit eine Vereinigung im Sinne des UrhWG vorliegt. Die Anzahl der Mitglieder der Vereinigung ist jedoch nicht alleiniges Merkmal einer Unzumutbarkeit. So kann eine Unzumutbarkeit auch dann vorliegen, wenn der Abschluss eines Gesamtvertrages keine nennenswerte Vereinfachung des Verwaltungsvorganges von Seiten der GEMA bedeutet. Sind die Unzumutbarkeitsvoraussetzungen umstritten, so muss die GEMA beweisen, dass diese vorliegen. Wird eine Einigung über einen Gesamtvertrag geschlossen, so gilt dieser als schuldrechtliche Rahmenbedingung für die später gesondert einzuräumenden Nutzungsrechte. Der Gesamtvertrag kann somit als Rahmenvertrag für die im Einzelfall geschlossenen Verträge über bestimmte Werke genutzt werden. Als Gegenleistung für die niedrigeren Vergütungssätze bei der GEMA hat der Verein sog. Gesamtvertragshilfe zu leisten. Er ist bei der Abwicklung und Kontrolle der Einzelnutzungsverträge, die auf Basis des Gesamtvertrags mit den Mitgliedern geschlossen werden, behilflich. Es werden beispielsweise der Verwertungsgesellschaft Mitgliederverzeichnisse zur Verfügung gestellt und der Verein sorgt dafür, dass die im Gesamtvertrag vereinbarten Bedingungen von den Mitgliedern eingehalten werden. Je nach Mitgliederanzahl wird dadurch weiterer, interner Verwaltungsaufwand erforderlich. IV. Gründung und Eintragung eines Vereins Vertragspartner eines Gesamtvertrages kann nur eine Vereinigung sein, hinter der Mitglieder stehen, die urheberrechtlich geschützte Werke nutzen. Wer selbst Werke nutzt, auch als Mitglied einer Vereinigung, kann nicht Vertragspartner werden.

8 DFN-Infobrief Recht 2 / 2011 Seite 8 Der überwiegende Teil der in der Liste der GEMA aufgeführten Gesamtvertragspartner sind Vereine i.s.d. 21 BGB, die einen bestimmten gemeinsamen Zweck verfolgen. Solange ein Verein nicht wirtschaftlich agiert, d.h. nicht wie ein Unternehmer am Wirtschaftsverkehr teilnimmt, handelt es sich um einen nicht wirtschaftlichen Verein i.s.d. 21 BGB. Der gemeinsame Zweck eines Vereins aus den Kulturgruppen bestünde dann darin, mit der GEMA Gesamtverträge abzuschließen. Grundvoraussetzung für die Gründung eines solchen Vereins ist der Beschluss einer Satzung. Im eigentlichen Gründungsakt einigen sich schließlich die Gründer darauf, dass die beschlossene Satzung nun verbindlich gelten und der Verein bestehen soll. Damit der Verein auch Vertragspartner der GEMA sein kann, muss er rechtsfähig sein. Nur dann kann er Träger von Rechten und Pflichten sein. Um diese Rechtsfähigkeit zu erlangen, muss der Verein ins Vereinsregister beim Amtsgericht eingetragen werden. Nach 55 BGB/ 1 Abs. 1 Vereinsregisterordnung ist das Amtsgericht zuständig, in dessen Bezirk der Verein seinen Sitz hat. Der Vorstand hat die Eintragung ins Vereinsregister anzumelden. Diese Anmeldung ist in notariell beglaubigter Form einzureichen, sodass Notarkosten anfallen. Die Eintragung selbst ist für gemeinnützige Vereine kostenfrei. Möglicherweise fallen jedoch Auslagen für die Veröffentlichung im Vereinsregister an. Für eine Anerkennung als gemeinnütziger Verein müssen folgende Voraussetzungen vorliegen: muss sich allerdings von den anderen Vereinsnamen in demselben Bezirk deutlich unterscheiden, damit die Gefahr der Verwechslung gemindert wird. Damit der Verein nach außen handeln kann, ist erforderlich, dass ein Vorstand gebildet wird. Dieser kann aus mehreren Personen bestehen und vertritt den Verein gerichtlich und außergerichtlich. Ein mit einer Verwertungsgesellschaft wie der GEMA geschlossener Gesamtvertrag bindet grundsätzlich nur die Vertragsparteien selbst, d.h. die GEMA und den Verein. Aus diesem Grund ist es erforderlich, dass sich die einzelnen Mitglieder des Vereins bspw. einzelne Untergruppen dem Gesamtvertrag unterwerfen. Diese Unterwerfung besteht in der Anerkennung der im Gesamtvertrag vereinbarten Bedingungen. Sinnvoll ist es, diese Unterwerfung bereits in der Satzung festzulegen. Darüber hinaus ist es möglich, einzelne Annahmevereinbarungen mit den Mitgliedern zu schließen. Dies erfordert jedoch einen Mehraufwand an Verwaltung. 1. Die Körperschaft muss gemeinnützige, mildtätige oder kirchliche Zwecke verfolgen. 2. Der Zweck muss selbstlos, ausschließlich und unmittelbar verfolgt werden. 3. Alle Voraussetzungen der Steuerbegünstigung müssen aus der Satzung ersichtlich sein. Die Satzung muss auch die Art der Zweckverwirklichung angeben. 4. Die Satzung muss eine Regelung enthalten, welche festlegt, dass das Vermögen der Körperschaft bei Auflösung oder Wegfall der steuerbegünstigten Zwecke auch zukünftig für steuerbegünstigte Zwecke verwendet wird (sog. Anfallklausel). 5. Die tatsächliche Geschäftsführung muss der Satzung entsprechen. Schließlich bestehen auch Mindestanforderungen an die Vereinssatzung selbst. Sie muss den Zweck, den Namen und den Sitz des Vereins enthalten. Zudem muss sich aus ihr ergeben, dass der Verein ins Vereinsregister eingetragen werden soll. Darüber hinaus enthält 58 BGB weitere Anforderungen an eine Vereinssatzung. Danach soll die Satzung ebenfalls Bestimmungen über den Eintritt und Austritt der Mitglieder, sowie darüber, ob und welche Beiträge von den Mitgliedern zu leisten sind und über die Bildung des Vorstands enthalten. Des Weiteren sollen die Voraussetzungen, unter denen eine Mitgliederversammlung einberufen wird bzw. die Form der Berufung sowie die Beurkundung der Beschlüsse, aufgeführt werden. Die Namenswahl des Vereins ist grundsätzlich frei. Der Name

9 DFN-Infobrief Recht 2 / 2011 Seite 9 Impressum Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz. Herausgeber Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, Berlin DFN-Verein@dfn.de Redaktion Forschungsstelle Recht im DFN, ein Projekt des DFN-Vereins an der WESTFÄLISCHE WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und Medienrecht (ITM), Zivilrechtliche Abteilung, unter Leitung von Prof. Dr. Thomas Hoeren Leonardo-Campus 9 D Münster recht@dfn.de Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins und mit vollständiger Quellenangabe.