Handlungsempfehlungen Computerstrafrecht

Transkript

1

2 DFN-Infobrief Recht April 08 Seite Handlungsempfehlungen Computerstrafrecht von Ass. jur. Kai Welp Am 11. August 2007 ist das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität in Kraft getreten. Das Gesetz dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität sowie des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. Wegen der Einzelheiten wird auf die Stellungnahme der Forschungsstelle Recht zum Regierungsentwurf vom 20. September und auf die Beiträge im DFN-Infobrief Recht 2 verwiesen. Für die Mitglieder des DFN-Vereins sind folgende Änderungen relevant: Ausspähen von Daten ( 202a StGB) Nach 202a StGB macht sich strafbar, wer sich unbefugt Zugang zu besonders gesicherten Daten verschafft. Neu gegenüber der alten Rechtslage ist hier, dass ein Verschaffen der Daten nicht mehr erforderlich ist. Da nach der Rechtsprechung für die Verwirklichung des bisherigen Tatbestandes das Zugangverschaffen zu einem fremden Informationssystem unter Kenntnisnahme der Daten ausreichend war, ergeben sich durch das Strafrechtsänderungsgesetz nur marginale relevante Veränderungen. Die Strafbarkeitsschwelle ist nunmehr bereits bei einem Zugangverschaffen ohne Kenntnisnahme der Daten erreicht. Die Tat ist als relatives Antragsdelikt ausgestaltet, wird also nur auf einen Strafantrag des Verletzten oder bei einer Bejahung des besonderen öffentlichen Interesses an der Strafverfolgung durch die Staatsanwaltschaft verfolgt. Um Strafbarkeitsrisiken zu minimieren, sollten die nachfolgenden Grundsätze eingehalten werden (dies galt schon nach bisherigem Recht): IT-Sicherheitsprüfungen wie Penetrationstests bzw. Exploits zur Testung von Schwachstellen dürfen nur nach vorheriger Zustimmung des Verantwortlichen durchgeführt werden. Die Systempenetration im Auftrag des Berechtigten ist straflos, da nur das unbefugte Zugangverschaffen unter Strafe steht. Die Zustimmung und der Einsatz sollten dokumentiert werden: Die Dokumentation dient dem Nachweis der Zustimmung. Portscans und Pings sind nach Auffassung der Forschungsstelle Recht sowohl bei eigenen als auch an fremden Systemen aus rechtlicher Sicht zulässig, da hier kein Zugang zu besonders gesicherten Daten verschafft wird. URL-Manipulationen sind rechtlich nicht relevant, soweit sich der Zugriff darauf beschränkt, die entsprechenden Webseiten einzulesen. Sind die Webseiten für den öffentlichen Gebrauch bestimmt, liegt ein befugtes Verschaffen von Daten vor. Im Übrigen liegen bei einem Zugriff, der auf einer schlichten Manipulation der URL beruht, keine besonders gesicherten Daten vor. Eine Veränderung der auf fremden Webservern gespeichert Daten ist hingegen unzulässig. Dies galt schon nach bisherigem Recht ( 303a StGB) Abfangen von Daten ( 202b StGB) Nach 202b StGB macht sich strafbar, wer sich unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittelung verschafft. Der Gesetzgeber möchte durch die Einführung der Vorschrift alternative Kommunikationsmittel wie und Voice Over IP schützen. Im Gegensatz zu 202a StGB betrifft die Vorschrift ausschließlich Daten während des Übertragungsvorgangs. Diese müssen nicht besonders gesichert sein, so dass die unverschlüsselte Kommunikation vom Tatbestand erfasst ist. Nach juristischen Kriterien ist die Datenübermittlung im Internet keine öffentliche Kommunikation, so dass die Vorschrift für Hochschulen im Bereich des Mitschneidens von Netztraffic relevant wird. Dies betrifft allerdings nicht die Speicherung der beim Access-Provider anfallenden Verkehrsdaten. Deren Zulässigkeit bestimmt sich nach den Vorschriften des Telekommunikationsgesetzes. Die Tat ist als relatives Antragsdelikt ausgestaltet, wird also nur auf einen Strafantrag des Verletzten oder bei einer Bejahung des besonderen öffentlichen Interesses an der Strafverfolgung durch die Staatsanwaltschaft verfolgt. Das Mitschneiden von Netztraffic ist zulässig,

3 DFN-Infobrief Recht April 08 Seite 3 wenn es aus technischen Gründen zwingend für die Aufrechterhaltung des Betriebs eines Netzwerkes erforderlich ist. Darüber hinaus sollte Netztraffic nur aus konkretem Anlass und keinesfalls dauerhaft mitgeschnitten werden. Dies ergab sich bereits aus dem bisherigen Recht, da das Fernmeldegeheimnis ( 206 StGB) berührt ist. Wird Netztraffic zur Rückverfolgung eines konkreten Angriffs mitgeschnitten, sollte der entsprechende Vorgang ausreichend dokumentiert werden. Vorbereiten des Ausspähens und Abfangens von Daten ( 202c StGB) Die umstrittenste Vorschrift der Novelle ist der Tatbestand des 202c StGB. Hiernach macht sich strafbar, wer eine Straftat nach 202a oder 202b StGB vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft oder sonst zugänglich macht. Es handelt sich hierbei um eine Vorbereitungsstraftat, die Vorsatz bezüglich der Begehung von Straftaten nach 202a oder 202b StGB voraussetzt. Welche Programme im Ergebnis unter den Tatbestand fallen, lässt sich derzeit nicht verbindlich feststellen. Es wird Aufgabe der Rechtsprechung sein, das Tatobjekt ausreichend zu konkretisieren. Sicher ist aber, dass solche Programme, die ausschließlich zur Begehung von Straftaten (Viren-Kitts, bestimmte Trojaner) verwendet werden können, von der Vorschrift erfasst werden. Ob so genannte Dual-Use- Tools, die neben einer möglichen rechtswidrigen Verwendung auch zur Systemwartung erforderlich sind, betroffen sind, ist unklar. Zwar wird in der Gesetzesbegründung davon ausgegangen, dass sicherheitsrelevante Tools nicht erfasst sind. Jedoch soll es für die Tatbestandsverwirklichung ausreichend sein, wenn die Computerprogramme auch zur Begehung von Straftaten verwendet werden können. Die Forschungsstelle Recht vertritt hier eine teleologische Reduktion des Tatbestandes, die eine Einbeziehung von Sicherheitstools (d.h. Tools, die zum Zweck der Abwehr von Angriffen oder zu Zwecken der Systemwartung programmiert worden sind) ausschließt. Ob sich diese Auffassung durchsetzen wird, kann allerdings derzeit nicht vorausgesagt werden. Die Verwirklichung des Tatbestands setzt jedoch zwingend den Vorsatz der späteren Begehung einer Straftat nach 202a oder 202b StGB voraus. Damit ist der alleinige Besitz derartiger Programme nicht strafbar. Das Verwenden von Dual-Use-Tools in den Rechenzentren ist daher auch nach der Reform grundsätzlich straflos. Allerdings ist nach der Vorschrift für den Vorsatz im Hinblick auf die Begehung einer späteren Straftat durch einen Dritten das bloße für möglich Halten ausreichend. Dies ist beim Bereithalten derartiger Programme zum Download problematisch, da die Begehung von Straftaten durch Dritte nie ganz ausgeschlossen werden kann. Die Forschungsstelle Recht vertritt hier den Standpunkt, dass ein derart unkonkretisierter Vorsatz ohne weitere Anhaltspunkte für ein strafbares Verhalten Dritter nicht ausreichend ist. Daher verbleibt es unter diesen Voraussetzungen bei einer grundsätzlichen Straflosigkeit im Bereich des Verbreitens von Dual-Use-Tools. Diese Auffassung wird derzeit auch von der Staatsanwaltschaft Bonn geteilt, eine abschließende gerichtliche Klärung steht jedoch noch aus. Insgesamt gilt aber, dass die Verbreitung derartiger Tools um so unbedenklicher ist, je deutlicher der intendierte Zweck der Systemwartung zu Tage tritt. Bei der Tat handelt es sich um ein Offizialdelikt, d.h. eine Verfolgung ist auch ohne Strafantrag von Amts wegen möglich. Im Rahmen der üblichen Verwendung der Tools in Hochschulen dürfte das Risiko einer Strafverfolgung von Amts wegen als gering einzustufen sein. Um Strafbarkeitsrisiken insgesamt zu minimieren, sollten folgende Grundsätze eingehalten werden: Dual-Use-Tools, die für die Systemwartung nicht erforderlich sind, sollten gelöscht werden. Der Einsatz von Dual-Use-Tools, die ein besonderes Gefährdungspotential im Hinblick auf die Begehung von Straftaten nach 202a oder 202b StGB aufweisen, sollte unter Angabe des Verwendungszwecks schriftlich dokumentiert werden. Dual-Use-Tools mit einem besonderen Gefährdungspotential sollten nur in geschlossenen Benutzergruppen zum Download angeboten werden. Dies gilt insbesondere auch für selbst programmierte Dual-Use-Tools, da bei diesen im Gegensatz zu den handelsüblichen Programmen der Verwendungszweck nicht unmittelbar erkennbar ist. Der Begriff der geschlossenen Benutzergruppe ist zwar für den Anwendungsbereich des Computerstrafrechts irrelevant, jedoch wird durch die Beschränkung des Empfängerkreises der Wille dokumentiert, strafbares Verhalten Dritter weitestgehend auszuschließen. Keinesfalls muss auf den Betrieb von FTP-Servern gänzlich verzichtet werden. Das unbeschränkte Bereithalten von Dual-Use-

4 DFN-Infobrief Recht April 08 Seite 4 Tools zum Download im Rahmen gängiger Distributionen ist zwar problematisch; die Forschungsstelle geht aber davon aus, dass die Rechtsprechung hier noch stärkere Anforderungen an die Konkretisierung des Vorsatzes hinsichtlich der Begehung einer Straftat durch Dritte stellen wird (genaue Voraussehung des Tatplans). Diese Tendenz zeichnet sich derzeit auch in der Praxis ab. Sicherheitshalber sollte aber ein Disclaimer mit dem Hinweis, dass die Tools nicht zu Straftaten nach 202a oder 202b StGB verwendet werden dürfen, aufgenommen werden. Die Forschungsstelle weist allerdings darauf hin, dass derartige Disclaimer eine ggf. bestehende Strafbarkeit nicht ausschließen können. Das Strafverfolgungsrisiko bei den gängigen Distributionen ist aber insgesamt als gering einzustufen. Da 202c StGB auch das Verschaffen von Passwörtern zur Vorbereitung einer Straftat nach 202a,b StGB erfasst, sollten Passworttests, bei denen das ermittelte Passwort im Klartext angezeigt oder gespeichert wird, nur nach vorheriger Zustimmung des Passwortinhabers durchgeführt werden. > Die Zustimmung und der Einsatz sollten schriftlich dokumentiert werden. Insgesamt kann es sich aufgrund der unsicheren Rechtslage bei den Empfehlungen nur um Leitlinien handeln. Die Forschungsstelle Recht wird aber die Entwicklung in der Rechtsprechung verfolgen und die Mitglieder des DFN-Vereins bei Handlungsbedarf informieren. Gesetzestexte im Wortlaut: 202a Ausspähen von Daten Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. 202b Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten ( 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. 202c Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) 149 Abs. 2 und 3 gilt entsprechend. 205 Strafantrag In den Fällen des 201 Abs. 1 und 2 und der 201a, 202, 203 und 204 wird die Tat nur auf Antrag verfolgt. Dies gilt auch in den Fällen der 202a und 202b, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. Stirbt der Verletzte, so geht das Antragsrecht nach 77 Abs. 2 auf die Angehörigen über; dies gilt nicht in den Fällen der 202a und 202b. Gehört das Geheimnis nicht zum persönlichen Lebensbereich des Verletzten, so geht das Antragsrecht bei Straftaten nach den 203 und 204 auf die Erben über. Offenbart oder verwertet der Täter in den Fällen der 203 und 204 das Geheimnis nach dem Tod des Betroffenen, so gelten die Sätze 1 und 2 sinngemäß. Anmerkungen: Stellungnahme pdf. infobriefearchiv/infobrief0207.pdf und 1infobriefearchiv/infobrief0607.pdf.

5 DFN-Infobrief Recht April 08 Seite 5 Die Haftung des administrativen Kontakts Gerichte uneinig über Unterlassungshaftung Ass. jur. Kai Welp Zu einer der im Internetrecht weiterhin ungeklärten Fragestellungen gehören die Haftung des administrativen Kontakts (Admin-C) für Kennzeichenrechtsverletzungen im Rahmen der Registrierung einer Domain, aber auch die Haftung für die auf der Webseite platzierten Inhalte. Die instanzgerichtliche Rechtsprechung hatte sich in der Vergangenheit vielfach mit der Thematik auseinanderzusetzen, kommt im Ergebnis jedoch weiterhin zu konträren Entscheidungen. Zuletzt verneinten das OLG Hamburg 1 und das LG Dresden 2 eine Haftung des bei der DENIC e.g. eingetragenen Ansprechpartners, da er nicht die rechtliche Möglichkeit zur Verhinderung von Rechtsverletzungen auf der Webseite habe und ihm zudem Prüfungspflichten im Hinblick auf die Inhalte nicht zuzumuten seien. Mit einer höchstrichterlichen Klärung ist weiterhin nicht zu rechnen, da die Verfahren aufgrund ihrer Dringlichkeit zumeist im vorläufigen Rechtsschutz geführt werden. Gegen einstweilige Verfügungen ist eine Revision nach der Zivilprozessordnung nicht statthaft. Rechtsstellung des administrativen Kontakts Nach Ziffer VIII. Satz 1 der DENIC-Domainrichtlinien ist der Admin-C eine vom Domaininhaber benannte natürliche Person, die als Bevollmächtigte des Domaininhabers berechtigt und verpflichtet ist, sämtliche die Domain betreffenden Angelegenheiten verbindlich zu entscheiden. In rechtlicher Hinsicht ist der Admin-C damit der rechtsgeschäftlich bestellte Vertreter des Domain-Inhabers. Er ist befugt, rechtliche Erklärungen, die den Domainregistrierungsvertrag zwischen dem Domaininhaber und der DENIC betreffen, mit Wirkung für und gegen den Domaininhaber abzugeben oder entgegenzunehmen. Bei der DENIC werden Name, Anschrift, Telefonnummer und -Adresse eingetragen. Hat der Domaininhaber seinen Sitz nicht in Deutschland, muss der Admin-C zudem in Deutschland ansässig sein. Über die genannten Angaben hinaus ist dann auch eine Straßenanschrift anzugeben, da der Admin-C in diesem Falle auch als Zustellungsbevollmächtigter i.s.d. Zivilprozessordnung fungiert. Durch die Registrierung des Admin-C soll sichergestellt werden, dass der DENIC jederzeit eine im Inland ansässige Person als Empfangsvertreter für ihre Erklärungen zur Verfügung steht und diese im Hinblick auf die von ihr abgegebenen Erklärungen über die erforderliche Vertretungsmacht im Außenverhältnis gegenüber der DENIC verfügt. Gleichwohl ermöglicht es die von der DENIC zur Verfügung gestellte Whois-Abfrage 3 auch den Rechteinhabern, neben dem Domaininhaber eine weitere Person für potentielle Rechtsverletzungen in Anspruch zu nehmen. Damit stellt sich die Frage der haftungsrechtlichen Verantwortlichkeit des Admin-C. Keine Schadensersatzhaftung des administrativen Kontakts Relevant sind in dieser Hinsicht zum einen Rechtsverletzungen durch die Eintragung der Domain bei der DENIC. In Betracht kommen Kennzeichen- und Namensrechtsverletzungen, sofern Kollisionslagen mit anderen Rechteinhabern bestehen, aber auch Wettbewerbsverstöße Darüber hinaus stellt sich aber auch die Frage der Verantwortlichkeit für rechtswidrige Inhalte, die auf der registrierten Domain eingestellt werden. Schadensersatzansprüche gegen den Admin-C sind in der Regel ausgeschlossen, da diese ein schuldhaftes (vorsätzliches oder fahrlässiges) Handeln des Schädigers voraussetzen. Aus der Stellung des Admin-C lässt sich eine hierfür erforderliche Mitwirkungshandlung nicht herleiten. Eine direkte Haftung ist daher auch nach der Rechtsprechung ausgeschlossen. Allerdings werden mittelbare Rechtsverletzungen nach Auffassung des Bundesgerichtshofs von der so genannten Störerhaftung erfasst. Hiernach haftet derjenige auf Unterlassung, der willentlich und adäquat kausal an der Herbeiführung oder Aufrechterhaltung einer Rechtsverletzung mitgewirkt hat. Einige Gerichte lassen hier im Hinblick auf mögliche Kennzeichen- und Namensrechtsverletzungen die bloße Eintragung als Admin-C als haftungsrechtlich relevanten Tatbeitrag genügen. 4 Diese Auffassung scheint vertretbar, da der Admin-C aufgrund der DE-

6 DFN-Infobrief Recht April 08 Seite 6 NIC-Registrierungsrichtlinien zumindest die rechtliche Möglichkeit besitzt, auf den Eintragungsinhalt einzuwirken. Hingegen lassen diese Entscheidungen gänzlich außer Betracht, dass eine Verantwortlichkeit als Störer auch die Zumutbarkeit der Abhilfemöglichkeit voraussetzt. Bei einer Veränderung des Eintragungsinhalts stehen im Innenverhältnis zwischen dem administrativen Kontakt und seinem Arbeitgeber Schadensersatzansprüche im Raum, die die Zumutbarkeit ausschließen. Als rechtlich kaum vertretbar stellt sich aber die Auffassung einiger Gerichte dar, nach der der Admin-C auch für Rechtsverletzungen aufgrund von auf der Webseite eingestellten Inhalten auf Unterlassung haften soll. 5 Einer solchen Verantwortlichkeit steht schon die Beschränkung der Vertretungsmacht und damit des Aufgabenbereichs auf die die Domain betreffende Angelegenheiten entgegen. Da die Domain von den auf der Webseite eingestellten Inhalten zu unterscheiden ist, fehlt es dem Admin-C gänzlich an einer rechtlichen Befugnis zur Abhilfe. Die Gerichte verlangen zwar keine Kündigung der Domain, allerdings habe es der Admin-C durch die Aufgabe seiner Stellung gegenüber dem Domaininhaber selbst in der Hand, der Störerhaftung zu entgehen. Dem steht aber entgegen, dass eine Haftung als Störer stets die Möglichkeit der Rückgängigmachung des eigenen Tatbeitrags verlangt. Durch die Aufgabe der Stellung als Admin-C lässt sich aber eine fortdauernde Rechtsverletzung nicht beseitigen. Der Domaininhaber wäre nicht gehindert, einen neuen Admin-C gegenüber der DENIC zu benennen. Zudem hat der vom Admin-C erklärte Verzicht nicht automatisch die Kündigung der Domain und damit die Beendigung der Rechtsverletzung zur Folge. die Abgabe einer strafbewehrten Unterlassungserklärung lässt sich die Einbeziehung des Unterlassungsanspruchs in einen möglichen Prozess vermeiden. Als Gegenstand einer Klage im Hauptsacheverfahren kämen in diesem Fall nur noch die durch die erste Abmahnung eines Rechtsanwalts verursachten Kosten in Betracht. Anmerkungen: 1.. Urt. v , MMR 2007, 601 ff. Urt. v , MMR 2007, 394 f So OLG Stuttgart, Beschluss v , MMR 2004, 38 ff.; OLG München, Urt. v , MMR 2000, 277 ff.; a.a.: OLG Koblenz, Urt. v , MMR 2002, LG Bonn, Urt. v , CR 2005, 527. Fazit Der Admin-C haftet generell nicht auf Schadensersatz für Kennzeichenrechtsverletzungen Dritter oder rechtswidrig eingestellter Inhalte. Allerdings besteht nach Auffassung einiger Gerichte eine Unterlassungshaftung nach den Grundsätzen der Störerhaftung. Die Haftung wird in der Rechtsprechung aber auch zum Teil verneint. Rechteinhaber haben es allerdings aufgrund des so genannten fliegenden Gerichtsstands, nach dem bei Rechtsverletzungen im Internet jedes Gericht örtlich zuständig ist, in dessen Bezirk die rechtswidrigen Inhalte bestimmungsgemäß abrufbar waren, in der Hand, Anträge auf Erlass einstweiliger Verfügungen bei Gerichten einzureichen, die tendenziell im Sinne einer Haftung entscheiden. Das Kostenrisiko des Admin-C bestimmt sich nach dem Streitwert des Unterlassungsanspruchs. Durch

7 DFN-Infobrief Recht April 08 Seite 7 Risiken bei der Erstellung von Websites Informationspflichten des Betreibers zur Vermeidung einer Haftung Dipl.-Jur. Felix Banholzer und Ass. iur. Stefan Bröckers Die Unterstützung der Lehr- und Forschungstätigkeit durch moderne Kommunikationsmittel ist im heutigen Hochschulbetrieb kaum noch wegzudenken: vorlesungs- und seminarbegleitende Materialien lassen sich inzwischen wie selbstverständlich im Internet finden und auch die Anmeldung zu Klausuren sowie die Abfrage von Zensuren erfolgen überwiegend online. Beim Aufbau einer Hochschul-Website darf aber nicht übersehen werden, dass Angebot und Nutzung von Internetdiensten Risiken in sich bergen. Der Betreiber einer Website steht dem Nutzer nicht persönlich gegenüber, so dass er in Streitfällen nur unter erschwerten Umständen ausfindig gemacht werden kann. Ihn treffen daher Informationspflichten über seine Person und seine Verantwortlichkeit für die Rechtmäßigkeit des Internetangebots. Auch Verlinkungen auf fremde Websites können haftungsrechtliche Konsequenzen für denjenigen, der einen Link setzt, nach sich ziehen, wenn die auf der externen Seite veröffentlichten Inhalte rechtswidrig sind. Ein weiteres Problem stellt der Schutz der eigenen Inhalte vor Missbrauch dar. Naturgemäß erfordert die Erstellung einer Homepage ein nicht unerhebliches Maß an kreativer Leistung und ist nicht selten mit erheblichen finanziellen Aufwendungen verbunden. Umso ärgerlicher, wenn die mühsam erstellten Texte, Bilder und/oder Grafiken eins-zu-eins auf einer fremden Website wiedergefunden werden, ohne dass eine Einwilligung hierin erfolgt ist. Schließlich hat der Nutzer eines Internetangebots ein Interesse daran zu erfahren, was mit seinen Daten, die er unter Umständen unbewusst beim Besuch einer Website übermittelt, geschieht. Hier gilt es, zur Wahrung des Vertrauensschutzes Transparenz zu schaffen. Die Impressumspflichten Am ist das Telemediengesetz (TMG) als Nachfolger des Teledienstegesetzes (TDG) und des Mediendienstestaatsvertrags (MDStV) in Kraft getreten. Es stellt unter anderem strenge Anforderungen an die Inhaltsangaben eines Impressums auf einer Website, um Nutzern die Identifikation des Betreibers zu ermöglichen. Dies ist beispielsweise in Fällen für den Nutzer relevant, in denen eine Homepage ihn betreffende rechtswidrige Inhalte enthält. Das TMG findet auf alle natürlichen und juristi schen Personen einschließlich öffentlicher Stellen wie Hochschulen Anwendung, die eigene oder fremde Telemedien zur Nutzung bereithalten oder als Zugangsvermittler auftreten (sog. Dienstanbieter). Gemäß 5 Abs. 1 TMG treffen nur die Dienstanbieter von geschäftsmäßigen, in der Regel gegen Entgelt angebotenen Telemedien besondere Informationspflichten. Das Erfordernis der Entgeltlichkeit bezieht sich in diesem Zusammenhang nicht auf das Online- Angebot an sich, sondern nur auf die Tätigkeit, die hinter dem Internetauftritt steht. Ausgenommen von der Impressumspflicht sind daher lediglich rein privat betriebene Homepages und Websites von Idealvereinen, die keine Dienste bereitstellen. Die erforderlichen Informationsangaben sind hierbei ausdrücklich im Gesetz aufgeführt. Für juristische Personen wie Hochschulen besonders relevant sind: Angabe des Namens und der Niederlassungsanschrift, Nennung der Rechtsform und einer vertretungsberechtigten Person, Bekanntgabe einer -Adresse zur Ermöglichung einer schnellen elektronischen Kontaktaufnahme und unmittelbaren Kommunikation, vorsorglich eine geschäftliche Telefon- und Faxnummer, wobei dies gesetzlich nicht ausdrücklich angeordnet ist, von manchen Gerichten aber für erforderlich gehalten wird, Nennung der zuständigen Aufsichtsbehörde sowie der Umsatzsteueridentifikationsnummer (gemäß 27a des Umsatzsteuergesetzes) oder, falls eine solche nicht vorhanden ist, der Wirtschaftsidentifikationsnummer ( 139c der Abgabenordnung)

8 DFN-Infobrief Recht April 08 Seite 8 Diese Angaben müssen gemäß 5 Abs. 1 TMG für den Nutzer leicht erkennbar, unmittelbar erreichbar und ständig verfügbar gehalten werden, etwa durch einen separaten Menüpunkt auf der Startseite sowie auf jeder Unterseite der Website unter der in - zwischen allgemein üblichen Bezeichnung Impressum. Um die Einhaltung der Informationspflichten sicherzustellen, enthält 16 TMG einen Bußgeldtatbestand. Danach ist der Betreiber wegen einer Ordnungswidrigkeit haftbar, wenn die erforderlichen Informationen schuldhaft nicht, nicht richtig oder nicht vollständig verfügbar gehalten werden. In einem solchen Fall kann ein Bußgeld von bis zu Euro erhoben werden. Daneben können Unterlassungsansprüche nach 2 des Unterlassungsklagengesetzes (UKlaG) und nach 4 Nr. 11 in Verbindung mit den 3 und 8 des Gesetzes gegen den unlauteren Wettbewerb (UWG) bestehen. Haftungsausschluss für externe Links Wer als Betreiber auf seiner Website eine Verlinkung auf eine fremde Website setzt, begibt sich in die Gefahr, haftungsrechtlich für rechtswidrige Inhalte auf der fremden Seite in Anspruch genommen zu werden. Daher ist es sinnvoll, einen Haftungsausschluss für die Inhalte externer Websites aufzunehmen. Dafür ist zunächst die Erstellung eines so genannten Disclaimers sinnvoll, also eine ausdrückliche Erklärung, dass der Verlinkende sich von dem Inhalt der verlinkten Website distanziert. Entscheidend ist jedoch nach überwiegender Ansicht der Gesamteindruck einer Website, so dass trotz Disclaimer weiterhin der Eindruck entstehen kann, dass der Verlinkende sich die fremden Inhalte zu Eigen machen möchte. Lediglich im Rahmen einer wertenden Gesamtschau kann ein Disclaimer ein Indiz für die Distanzierung des Verlinkenden von fremden Webangeboten sein. Ein Haftungsausschluss erfordert somit neben einem Disclaimer weitere Schutzmaßnahmen. Es bietet sich zu diesem Zweck an, lediglich einfache Links zu verwenden, also solche, bei denen auf der eigenen Website nur die Adresse eines anderen Anbieters genannt oder als Logo präsentiert wird, das durch doppeltes Anklicken aktiviert werden kann. Dadurch wird der Eindruck der inhaltlichen oder unternehmerischen Verbundenheit vermieden. Zu beachten ist hierbei, dass der Hinweis auf eine fremde Seite nicht die Funktion haben sollte, die Aussage der eigenen Website zu vervollständigen. Stattdessen sollte er nur als weiterführender Hinweis dienen. Die nötige Distanzierung erreicht man zum Beispiel, indem man den externen Links die Überschrift Weiterführende Hinweise voranstellt. Ferner ist es zweckmäßig, dass beim Anklicken des Links ein neues Fenster (Browser oder Tab) mit der entsprechenden Seite geöffnet wird. Auf diese Weise hat der Nutzer nicht den Eindruck, dass sich das Angebot auf dem ursprünglichen Server befindet (sog. Inline-Linking). Zudem sollte bei der Verlinkung darauf geachtet werden, dass stets auf die Startseite eines fremden Website-Betreibers verlinkt wird und nicht auf eine Unterseite (sog. Deep-Linking). Andernfalls könnte der Eindruck entstehen, dass die Verlinkung auf einen speziellen Inhalt der fremden Seite erfolgen soll, wodurch sich die Gefahr einer Eigenhaftung wegen nicht ausreichender Distanzierung von möglicherweise rechtswidrigen Inhalten erhöht. Als zusätzliche Maßnahme zur Vermeidung einer Haftung sollte der Betreiber vorsorglich die fremde Seite sorgfältig vor der Verlinkung auf deren Rechtmäßigkeit überprüfen und dies von Zeit zu Zeit wiederholen. Sobald Umstände bekannt werden, aus denen sich die offensichtliche Rechtswidrigkeit bestimmter Inhalte ergibt, sollten die entsprechenden Verlinkungen vom Server gelöscht werden. Copyright-Vermerk Um sich vor Kopien des Layouts und der Inhalte der eigenen Website zu schützen, bietet es sich an, die Website mit einem Copyright-Vermerk zu versehen. Nach deutschem Recht entsteht ein Urheberrecht zwar originär mit Schöpfung eines Werks und muss nicht explizit als solches deklariert werden, um Schutz zu genießen. Die Kennzeichnung der eigenen Inhalte als urheberrechtlich geschützt kann aber Dritte davon abhalten, Missbrauch zu betreiben. Jemand, der gewillt ist, eine fremde Website für den eigenen Internetauftritt zu kopieren, wird durch einen Copyright-Vermerk vermutlich eher von seinem Vorhaben abgehalten als jemand, der mangels Kennzeichnung der Urheberschaft darauf vertraut, die Inhalte seien frei kopierbar. Üblicherweise erfolgt der Vermerk durch das -Symbol, gefolgt vom Namen des Urhebers und dem Datum der Errichtung des Werks. Zu beachten ist, dass das -Symbol unbedingt verwendet werden sollte, da nur auf solche Weise die Urheberschaft auch international anerkannt werden kann (z.b. nach amerikanischem Recht). Ein Copyright-Vermerk muss auf der Website nicht besonders auffällig angebracht sein, sollte aber zumindest gut lesbar sein. Beispielsweise könnte er am unteren Rand der Website angebracht werden.

9 DFN-Infobrief Recht April 08 Seite 9 Datenschutzerklärung Regelmäßig werden beim Aufruf einer Website bestimmte Daten des Nutzers meist zum Zweck der statistischen Auswertung auf dem Server gespeichert. Bezüglich der Zulässigkeit einer solchen Speicherung ist zwischen personenbezogenen und nicht-personenbezogenen Daten zu differenzieren. Nicht-personenbezogene Daten stellen beispielsweise Datum und Uhrzeit des Aufrufs der Website dar. Nach umstrittener, aber derzeit wohl überwiegender Auffassung zählt ebenfalls die IP-Adresse zu den nichtpersonenbezogenen Daten. 1 Bei diesen Daten steht den Betreibern die Verwendung grundsätzlich frei, so dass keine weiteren Anforderungen eingehalten werden müssen. Aus Vertrauensschutzgründen ist dennoch diesbezüglich eine Datenschutzerklärung zur Information des Nutzers empfehlenswert. Personenbezogene Daten hingegen sind z.b. Name, Anschrift oder Adresse des Nutzers. Diese dürfen nicht frei verwendet werden, sie stehen vielmehr unter dem Schutz spezieller Gesetze wie dem Telemediengesetz und den Datenschutzgesetzen des Bundes und der Länder. Die Nutzung solcher Daten, etwa die Speicherung oder Weitergabe, ist generell nur zulässig, wenn der Nutzer in diese eingewilligt hat oder eine gesetzliche Erlaubnis vorliegt. In der Datenschutzerklärung empfiehlt es sich daher, die etwaige Verwendung personenbezogener Daten darzustellen, sofern solche erhoben werden sollen. Eine gesonderte Einwilligung des betroffenen Nutzers ist aber weiterhin erforderlich, sofern kein Fall einer gesetzlichen Ausnahmeregelung vorliegt. Einwilligungen können in der Regel nicht im Rahmen von allgemeinen Geschäftsbedingungen (AGB) eingeholt werden. Musterentwürfe Impressum: index.php Disclaimer: Datenschutzerklärung: Auf folgenden Websites befinden sich Musterentwürfe: webseite Diese Entwürfe müssen den individuellen Anforderungen der Website angepasst werden und dienen nur als Beispiel, so dass keine Gewähr für die inhaltliche Richtigkeit und Vollständigkeit übernommen werden kann. Anmerkungen: 1. Das Amtsgericht Berlin-Mitte ist in seinem Urteil vom Az.: 5 C 314/06 - jedoch von der Personenbezogenheit von IP-Adressen ausgegangen. Ausfu hrlich und kritisch hierzu RA Noogie C.Kaufmann im DFN Infobrief Recht, Oktober Sinn und Zweck einer Datenschutzerklärung ist, das Vertrauen des Nutzers in Bezug auf die Sicherheit seiner Daten zu stärken. Dieser hat oftmals keine genaue Vorstellung von Zweck und Umfang der Datenspeicherung, so dass er infolge dieser Unsicherheit von einer Nutzung der Website absehen könnte. Durch die Verwendung einer Datenschutzerklärung würde der Nutzer über die Vorgehensweise des Betreibers mit seinen Daten informiert, um daraufhin die Risiken der Nutzung für sich beurteilen zu können. Eine Datenschutzerklärung sollte daher die gespeicherten Daten benennen, die weiteren Verwendungsvorhaben aufzeigen und den Nutzer über den eventuellen Gebrauch von Cookies aufklären. Auch empfiehlt sich ein Hinweis auf bestehende Auskunftsrechte. Zur Beruhigung bietet es sich zudem an, ausdrücklich klarzustellen, dass eine Weitergabe der Daten an Dritte nicht erfolgt.

10 DFN-Infobrief Recht April 08 Seite 10 Impressum Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz. Herausgeber Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Stresemannstr. 78, D Berlin [email protected] Redaktion DFN-Forschungsstelle Recht, WESTFÄLISCHE WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und Medienrecht (ITM), Zivilrechtliche Abteilung Prof. Dr. Thomas Hoeren Leonardo-Campus 9 D Münster [email protected] Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins und mit vollständiger Quellenangabe.