Der Europäische Gerichtshof hat heute Vormittag zu zwei Verfahren (C-203/15, C-698/15) die Grundsatzentscheidung gefällt, dass eine allgemeine Vorratsdatenspeicherung – wie sie derzeit gesetzlich vorgeschrieben ist – grundrechtswidrig ist.
Was ist passiert?
Zuletzt war erst im Dezember 2015 ein neues Gesetz zur Einführung einer Speicherpflicht in Deutschland verabschiedet worden, gegen das diverse Verfassungsbeschwerden anhängig sind. Hiernach müssen Provider (ab Juni 2017) vier bzw. zehn Wochen gewisse Nutzerdaten (Standortdaten, Rufnummern, SMS, IP-Adressen etc.) unabhängig von deren späteren Verwendung speichern und vorhalten; eine richtlicher Anordnung zur Herausgabe an Stellen der Strafverfolgung oder Gefahrenabwehr besteht nicht. Der EuGH hat die anlasslose Vorratsdatenspeicherung nun heute untersagt. Bereits in 2014 hatte er die EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung aufgehoben. Mit dem heutigen Urteil stellt er jedoch fest, dass jede anlasslose Speicherung auf Vorrat einen schwerwiegenden Grundrechtseingriff darstelle, der nur gerechtfertigt sei, wenn eine konkrete Bedrohung der öffentlichen Sicherheit vorliege oder aber die Speicherung zur Bekämpfung schwerer Straftaten notwendig sei. Zudem müsse sich der Umfang der Speicherung auf das absolut Notwendige beschränken; ein nationales Gesetz habe daher etwa klarzustellen, welche Kategorien von Daten von welcher Personengruppe über welches Kommunikationsmittel wielange gespeichert werden darf. Dies ist – nach meiner persönlichen Meinung – heute in § 113b TKG nicht gewährleistet, so dass hier eine umfassende Änderung anstehen dürfte.
Warum ist das wichtig für Sie?
Die Entscheidung hat maßgeblichen Einfluss auf die Tätigkeit von Telekommunikationsanbietern, denn diese wissen nun, dass die eigene anlassbezogene Vorratsdatenspeicherung gemäß § 113b TKG EU-rechtswidrig ist. Für alle anderen Unternehmen gilt die Vorratsdatenspeicherung nicht; insoweit ist intern auch nichts umzustellen. Allerdings ist auch das jüngste EuGH-Urteil vom 19.10.2016 (Az. C 582/14) zu IP-Adressen zu beachten, wonach Unternehmen berechtigt sein können, zu Sicherheitszwecken auch längerfristig personenbezogene Nutzungsdaten der Website-Besucher zu speichern. Das Thema Datenspeicherung geht damit auch normale Unternehmen etwas an.
Was ist zu tun?
Unternehmen, die nicht TK-Anbieter sind, müssen auf das heutige Urteil nicht reagieren. Es ist jedoch wichtig zu wissen, dass der EuGH nun in kurzer Zeit sowohl § 15 Abs. 1 Telemediengesetz (Urteil C 582/14) als auch § 113b Telekommunikationsgesetz für (wohl) EU-rechtswidrig erklärt hat. Der Trend geht zum grundsätzlichen Verbot der Speicherung personenbezogener Daten; auf diesen Trend sollte auch {FIRMA} reagieren.
Was ist sonst noch passiert?
LG Hamburg – Haftung für Links
Das LG Hamburg hat am 18.11.2016 (Az. 310 O 402/16) festgestellt, dass Unternehmen, die auf ihrer gewerblichen Website einen Link auf urheberrechtswidrige Seiten anderer Anbieter setzen und von den dortigen Rechtsverstößen „hätten Kenntnis haben müssen“, mit dem eigenen Vermögen in der Haftung stehen. Das Urteil hat für Protest gesorgt, denn übersetzt bedeutet dies, dass man keine Links mehr auf fremde Websites setzen kann, ohne zuvor die dortigen Inhalte auf Rechtsverletzungen überprüft zu haben. Dennoch sollten Sie dieses Urteil beachten und intern besprechen.
Entwurf Umsetzungsgesetz zur EU-DSGVO
Mitte November 2016 wurde ein zweiter Referentenentwuf zum neuen Umsetzungsgesetz zur EU-Datenschutz-Grundverordnung vorgelegt. Es trägt den Namen „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ und soll das heutige Bundesdatenschutzgesetz neu gestalten. Die aktuelle Fassung des Entwurfes finden Sie hier. Der deutsche Gesetzgeber nimmt damit seine Rechte wahr und passt die strengen Vorgaben der DSGVO an einigen Stellen an. So werden etwa die Informationspflichten etwas eingeschränkt, die Pflicht zur Bestellung des Datenschutzbeauftragten jedoch im Gegensatz zur DSGVO verschärft. Es gelten hiernach dieselben Voraussetzungen wie heute (mindestens 10 Mitarbeiter arbeiten mit personenbezogenen Daten, also zB mit Outlook).
E-Privacy-Verordnung
Am 14.12.2016 ist die neue ePrivacy-Verordnung als Entwurf veröffentlicht worden. Den Entwurf finden Sie hier; er ist lediglich auf Englisch verfügbar. Die Verordnung soll die aktuelle ePrivacy-Richtline ablösen. Interessant ist hierbei insbesondere, dass der Entwurf in Art. 8 vorsieht, dass Website-Betreiber zukünftig für die Speicherung von Cookies die vorherige Einwilligung (Opt-In) einholen müssen und ein Opt-Out (so wie heute überwiegend im Internet verwendet) nicht mehr zulässig ist. Das kürzliche Urteil des OLG Frankfurt (Az. 6 U 30/15), das den Opt-Out noch für zulässig hielt, wäre damit obsolet. Dies ist besonders deshalb problematisch, da als Sanktion die Regelungen der DSGVO gelten, also Bußgelder in zweistelliger Millionenhöhe möglich sind.