EU-Reform im Urheberrecht

Vor ca. zwei Jahren legte die EU-Kommission einen Gesetzesvorschlag zur Reform des Urheberrechts vor. Denn man möchte die rechtlichen Regelungen an das digitale Zeitalter anpassen. Nun hat die Reform eine wichtige Hürde genommen. Am 12.09.2018 beschloss das EU-Parlament nach langen, zähen Verhandlungen, die Urheberrechtsreform zu unterstützen.

In den vorangegangenen Debatten waren zwei Punkte ganz besonders umstritten: (a) die Haftung von Plattformanbietern für Urheberrechtsverletzungen bei hochgeladenen Inhalten sowie (b) ein Leistungsschutzrecht für Zeitungsverleger aufgrund der Verwendung von Textausschnitten durch Nachrichtenportale.

(a) Bei der Haftung sollen nun Anbieter wie Youtube, Facebook, Twitter & Co dafür einstehen, wenn Nutzer urheberrechtlich geschütztes Material hochladen. Daher ist es sehr wahrscheinlich, dass sie sogenannte Upload-Filter einführen werden. Diese Filter prüfen vorab, ob eine Rechtsverletzung vorliegt. Allerdings können sie durchaus fehlerhafte Einschätzungen abliefern. Denn vor allem Zitate, Parodien und Satire sind durchaus zulässig, aber für einen Algorithmus kaum erkennbar.

(b) Beim Leistungsschutzrecht für Verleger sollen Portale wie Google News künftig nicht mehr die üblichen kurze Textausschnitte (sogenannte Snippets) in ihren Ergebnislisten anzeigen dürfen, ohne den Zeitungsverlage dafür Lizenzgelder zu bezahlen.

Und wie geht es jetzt weiter? Das Parlament wird jetzt Verhandlungen mit dem Ministerrat und der EU-Kommission über die endgültige Gestalt der Reform des Urheberrechts führen. Die entsprechenden Gespräche sollen in Kürze beginnen.

Blogger und die DSGVO

Seit dem 25. Mai 2018 gilt in der gesamten EU die Datenschutzgrundverordnung (DSGVO). Das hat natürlich auch Konsequenzen für das Betreiben eines Blogs. Aus Angst  haben bereits einige Blogger ihre Seiten geschlossen. Das muss aber nicht sein, wenn man einigen Dinge beachtet. Nachfolgend versuche ich, die wichtigsten Fragen zu beantworten:

1. Was ist denn eigentlich die DSGVO

Mittlerweile dürfte jeder von ihr gehört haben, und wenn es nur deswegen ist, weil das Postfach überquillt aufgrund neuer Datenschutzregeln aller Anbieter, bei denen man sich jemals im Internet angemeldet hat.

Bislang hatten alle europäischen Staaten ein eigenes nationales Datenschutzrecht. In Deutschland war das bis zum 24. Mai 2018 das alte Bundesdatenschutzgesetz (BDSG alt). Seit 25. Mai 2018 werden die Datenschutzvorgaben jedoch europaweit in der EU-Datenschutzgrundverordnung geregelt. Sie enthält zahlreiche Regeln zum konkreten Schutz von Personen und ihren Daten, ebenso zum freien Datenverkehr. Damit gilt mehr oder weniger ein einheitliches EU-weites Datenschutzrecht. Die Regeln gelten im übrigen  auch für Unternehmen, die ihren Sitz außerhalb der EU haben, ihre Angebote aber an EU-Bürger richten. Somit gilt die DSGVO beispielsweise auch für Facebook, Google und Amazon.

Die DSGVO schafft neue Rechtsgrundlagen für die Datenverarbeitung, sie verstärkt die Rechte der Betroffenen und intensiviert die Pflichten der Verantwortlichen. Sie enthält aber auch Öffnungsklauseln für die nationalen Gesetze. Aus diesem Grunde trat zeitgleich in Deutschland ein dazu gehöriges neues Bundesdatenschutzgesetz in Kraft, welches die DSGVO konkretisiert und zum Teil auch ergänzt.

2. Was ist neu?

Zwar durften Unternehmen, Behörden und andere Stellen auch bislang personenbezogene Daten nur erheben, verarbeiten und nutzen, wenn Betroffene eingewilligt haben oder das Gesetz es ausdrücklich erlaubte. Ab jetzt müssen aber zusätzlich eine Vielzahl von Vorgaben beachtet werden, um etwa Transparenz, Kontrolle und Sicherheit der Daten vor unbefugten Zugriffen Dritter zu gewährleisten.

Bei der DSGVO dreht sich alles um personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Nummer, Standortdaten oder sonstigen besonderen Merkmalen identifiziert werden kann. Das heißt, alle Informationen, die irgendwie Rückschlüsse auf eine Person zulassen, sind betroffen. Dabei  kann es sich beispielsweise um die Adressdaten, die Telefonnummer oder die E-Mail-Adresse handeln, aber auch um das Kfz-Kennzeichen, die IBAN oder irgendwelche Login-Daten. Es kommt ausschließlich darauf an, dass die Daten einer bestimmten Person zuordnen werden können.

Daher betreffen die Änderungen auch im Grunde alle, die eine Website betreiben. Denn jeder Zugriff auf eine Homepage übermittelt personenbezogene Daten, wie z.B. die IP-Adresse. Damit fällt allein das Bereitstellen einer Webseite in den Geltungsbereich der DSGVO.

3. Was heißt das ganz konkret für Blogger?

Die DSGVO stellt komplexe Anforderungen an alle. Daher sorgt sie bislang insbesondere für einen Berg von Arbeit, dem sich nicht nur große Unternehmen wie Amazon oder eBay zu stellen haben sondern auch Selbständige, Kleinunternehmer und Blogger. Und die fühlen sich häuftig überfordert, da man leider nicht auf Angestellten zurückgreifen kann, die sich um die Umsetzung kümmern.

Hinzu kommt, dass rechtlich vieles auch noch gar nicht abschließend geklärt ist. Das gilt beispielsweise für Fotos.  Auch sie werden nun als Daten im Sinne der DSGVO betrachtet, denn zusammen mit dem Gesicht oder sonstige besondere Merkmale des Abgebildeten, dem Ort, an dem er sich auf dem Foto befindet (Demo, CSD) oder bestimmter Kleidung (Kopftuch, Kippa), die er trägt, erhält man bereits ein differenziertes Bild des Abgebildeten. Nähere Ausführungen hierzu findet ihr unter ….

Es ist also alles andere als leicht, den neuen Anforderungen gerecht zu werden. Im Zweifel muss man sich mehrere Tage mit der Thematik auseinandersetzen und seine Datenströme analysieren. Denn es ist wichtig genau nachvollziehen zu können, wo die Daten der Nutzer hingehen, die erhoben werden. Wenn ein Blogger zum Beispiel Google Analytics nutzt, muss er wissen, welche Daten Google erhebt, wohin sie geschickt werden und vor allem wie man sie im Zweifel auch löschen lassen kann. Verträge über die Verarbeitung von Daten müssen geschlossen werden, man muss seine Datenschutzerklärung anpassen, seinen Nutzern bzw. Lesern ein jederzeitiges Widerrufsrecht einräumen und vieles mehr.

4. Muss tatsächlich jeder Blogger diesen Aufwand betreiben?

Nein, denn es gibt das sog. Medienprivileg. Um das Recht auf freie Meinungsäußerung und Informationsfreiheit nicht einzuschränken, müssen Fernseh- und Radiosender sowie Journalisten im Rahmen ihrer Tätigkeit sehr viel weniger Datenschutzrecht beachten, wenn sie personenbezogene Daten verarbeiten. Dies gilt auch für journalistisch tätige Blogger.

Aber Achtung!
Wer eine Website betreibt, muss auch bei Eingreifen des Medienprivilegs die klassischen Pflichten aller Webseitenbetreiber und die Vorschriften zur Datensicherheit beachten. Denn das hat mit der klassischen journalistisch-redaktionellen Arbeit nichts zu tun und unterfällt daher auch nicht dem Medienprivileg.

Somit haben die Nutzer zum Beispiel das Recht, Auskunft über ihre Daten zu erhalten. Webseiten müssen sich auch an die Verpflichtung zur Datenminimierung halten, Daten aus Kontaktformularen verschlüsselt übertragen, für die Versendung eines Newsletters am besten das Double Optin-Verfahren nutzen und weitere technische Sicherheitsvorkehrungen beachten. Insbesondere sind Betreiber von Websites verpflichtet, eine rechtskonforme Datenschutzerklärung bereitzustellen. Wer schon eine hat, muss sie den neuen Anforderungen anpassen. Und wundert euch nicht, so eine aktuelle Datenschutzerklärung kann wirklich lang werden.

5. Was muss jetzt getan werden?

Die Datenschutzerklärung muss neu angepasst werden. Hierin ist sehr detailliert aufzuführen, welche datenschutzrelevanten Anwendungen und Dienste nutzt, also Logfiles, Trackingdienste, Speichern von IP-Adressen bei Nutzung von Kontaktformularen usw. Aber keine Angst, wer sich bereits jetzt überfordert fühlt, kann auch einen Datenschutzgenerator nutzen. Man muss nur alles anklicken, was auf dem Blog datenschutzbezogen eine Rolle spielt und der Generator „spuckt“ zum Schluss die passende Datenschutzerklärung aus.

Weiterhin seid ihr verpflichtet, möglichst datenschutzfreundliche Voreinstellungen in eurem Blog zu nutzen. Es dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Daher solltet ihr auch überprüfen, welche Daten – eventuell auch unter Einschaltung externer Dienste wie Google Analytics – auf eurer Webseite erhoben werden.

Und ihr müsst vor Erhebung und Nutzung der Daten häufig die Einwilligung eurer Leser einholen. Das heißt beispielsweise für den Newsletter-Versand, dass das Double-Opt-In-Verfahren angewendet werden muss. Zudem müssen eure Nutzer bei der Eingabe ihrer Kontaktdaten aktiv den Datenschutzbestimmungen bzw. der Datenspeicherung zum Zweck des Newsletterversands zustimmen. Weiterhin muss für die Verwendung eines externen Newsletter-Dienstleisters ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden.

Auch sind sehr viele Social-Media-Plugins und so gut wie alle Share- und Like-Buttons datenschutztechnisch heikel, da sie bereits beim Seitenaufruf viele Informationen an die jeweiligen sozialen Netzwerke übermitteln. Daher sollte auf Plugins ausgewichen werden, die erst dann Daten übermitteln, wenn der Besucher aktiv darauf klickt. Ein solches Plugin ist zum Beispiel Shariff. Und dannn kommt es natürlich noch darauf an, welche Anpassungen bei der konkreten Website erforderlich sind.

6. Finale

Nicht vergessen werden sollte, dass die Bußgelder bei einer Mißachtung der gesetzlichen Vorgaben dramatisch gestiegen sind. Die Höhe sollen es zwar insbesondere Facebook & Co schwer machen, sich aus der Verantwortung zu ziehen. Aber trotzdem gelten sie für alle anderen genauso.

Daneben besteht auch weiterhin die Gefahr, wegen bestimmter Datenschutzrechtsverstöße wettbewerbsrechtlich abgemahnt zu werden. Wann und unter welchen Voraussetzungen das tatsächlich möglich ist, wurde zwar noch nicht hunterprozentig von den Gerichten festgestellt. Das hält aber einige „Abmahner“ nicht davon ab, gegen andere vorzugehen.

Wenn ihr aber die genannten Punkte zur Umsetzung der DSGVO beachtet und euren Blog auf den neuesten Stand bringt, sollte nicht allzuviel passieren. Also, viel Glück und Spaß bei der Umsetzung!

 

Journalisten und die DSGVO

Bei Recherchen und Veröffentlichungen im Rahmen einer journalistisch – redaktionellen Tätigkeit fallen oft jede Menge personenbezogener Daten an. Daher sind Rundfunk-, Presse- und sonstige Medienunternehmen genauso von der DSGVO betroffen wie andere Unternehmen auch.

Allerdings besteht auf der Grundlage einer entsprechenden Öffnungsklausel in der DSGVO (Art. 85 Abs. 1 DSGVO) für die einzelnen EU-Staaten die Möglichkeit, nationale Gestaltungsspielräume zum Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit auszufüllen. Für den journalistischen Bereich ist dies wiederum aufgrund der durch Artikel 5 Abs. 1 Grundgesetz garantierten Meinungs- und Pressefreiheit möglich.

Daher wurde das sog. Medienprivileg eingeführt, welches sich aufgrund der Zuständigkeit in den jeweiligen Presse- und Mediengesetzen der einzelnen Bundesländer wiederfindet.  Im Grundsatz räumt das Medienprivileg Medienunternehmen und Journalisten Ausnahmen von den geltenden Datenschutzbestimmungen ein. Voraussetzung dafür ist jedoch, dass es sich  bei den Daten ausschließlich um solche handelt, die aufgrund einer  journalistisch – redaktionellen Tätigkeit erlangt und verarbeitet werden. Allerdings besteht das Problem, dass sich die Bundesländer bei der Formulierung und Ausgestaltung des Medienprivilegs nicht abgesprochen haben. Somit ist ein Flickenteppich voller individueller Lösungen und Auslegungen entstanden, der auch offen lässt, wer sich denn überhaupt auf das Privileg berufen kann.

So geht zum Beispiel Bayern davon aus, dass das Medienprivileg nicht nur für Journalisten und Blogger, sondern selbst für Heimatforscher und die Öffentlichkeitsarbeit bestimmter Vereine gelten solle. Andere Bundesländer berufen sich auf den jeweiligen Einzelfall. Niedersachsen scheint eine sehr enge Auslegung des Medienprivilegs zu bevorzugen, denn nach deren Ansicht können sich nur Personen darauf berufen, die eine verstetigte und professionelle Arbeitsstruktur aufweisen. Eine solche sei in der Regel an der journalistischen Gestaltung der Arbeitsergebnisse erkennbar. Was das konkret und im Einzelnen bedeuten soll, müssen wohl im Zweifel die Gerichten klären.

Zudem möchte ich vorsorglich darauf hinweisen, dass auch Medienunternehmen und Journalisten den Bestimmungen der DSGVO unterliegen, wenn sie Daten nicht für die Berichterstattung  verarbeiten. Beispielsweise gelten für E-Mail-Adressen zum Versand eines Newsletters die gleichen DSGVO-Bestimmungen wie bei allen anderen auch.

In diesem Zusammenhang sei auch auf den Beschluss des Oberlandesgericht Köln vom 18.06.2018 (Az. 15 W 27/18) hingewiesen, der die obigen Ausführungen unterstreicht. Das OLG Köln entschied, dass trotz DSGVO bei journalistischer Bildberichterstattung das Kunsturhebergesetz (KUG) Anwendung findet. Denn das Europäische Parlament habe den nationalen Gesetzgebern durch Artikel 85 DSGVO einen Gestaltungsspielraum gelassen, welcher durch das KUG ausgefüllt werden kann. Zudem lasse das Gesetz die umfassende Abwägung der betroffenen Grundrechte zu. Somit können sich Journalisten auch nach Wirksamwerden der DSGVO bei der Bildberichterstattung am Kunsturhebergesetz orientieren.

ABER: Diese gerichtliche Entscheidung bezieht sich ausschließlich auf Journalisten und Pressefotografen. Bei freien Journalisten und Bloggern bleibt die Rechtslage weiter unklar.

 

Fotografen und der Datenschutz

Es herrschte eine Zeit lang Verunsicherung, was Fotografen zu beachten haben, seit ihre Fotos mit Einführung der Datenschutzgrundverordnung (DSGVO) als personenbezogene Daten gelten. Durch Stellungnahmen von diversen Datenschutzbeauftragten sowie einem Urteil des Oberlandesgerichts Köln (OLG Köln, 18.06.2018, Az. 15 W 27/18) hat sich – zumindest was den journalistischen Bereich angeht – gar nicht so viel geändert:

Zwar sind mit Inkrafttreten der DSGVO Fotos grundsätzlich als personenbezogene Daten anzusehen. Jede weitere Speicherung von Metadaten wie Ort oder Zeitpunkt der Aufnahme stellt zudem eine zusätzliche personenbezogene Datenerhebung dar, welche auch dem Datenschutz unterfällt. Gleiches gilt für jede nach der Aufnahme vorgenommene Speicherung, Vermarktung und Veröffentlichung. Somit beurteilt sich die Zulässigkeit der Anfertigung und Veröffentlichung von Fotoaufnahmen grundsätzlich nach der DSGVO.

Allerdings hat das Europäische Parlament den nationalen Gesetzgebern durch Artikel 85 DSGVO  einen Gestaltungsspielraum gelassen. Dadurch können die Mitgliedstaaten einen Ausgleich zwischen Datenschutz auf der einen und der Meinungs- und Informationsfreiheit auf der anderen Seite schaffen. Aus diesem Grund hat auch das OLG Köln in seinem Urteil vom 18.06.2018 entschieden, dass auf Grundlage von Art. 85 DSGVO weiterhin die Vorschriften des Kunsturhebergesetz (KUG) anwendbar sind. Denn das Kundurhebergesetz lasse insbesondere eine umfassende Abwägung der betroffenen Grundrechte zu. Außerdem können auch europarechtliche Aspekte zur Geltung kommen.

Somit liegt nun zumindest für den Bereich der Bildveröffentlichung zu journalistischen Zwecken Klarheit vor: Auch nach Wirksamwerden der DSGVO können sich Journalisten und Fotografen am Kunsturhebergesetz orientieren.

ABER: Vom Urteil erfasst wird lediglich die VERÖFFENTLICHUNG von Fotos zur JOURNALISCHEN BERICHTERSTATTUNG. NICHT erfasst werden Veröffentlichungen zu anderen Zwecken oder durch Veranstalter, PR-Agenturen, freie Fotografen, Blogger etc. Weiterhin erfasst das Urteil auch NICHT die Aufnahme („Knipsen“) der Fotos an sich (bzw. das Speichern der Fotos oder die Bearbeitung). Hier wäre wiederum die DSGVO einschlägig, d. h. die Abgebildeten müssen ihre Einwilligung in die Datenverarbeitung erklären und insbesondere über ihre Rechte aufgeklärt werden.

Daher nachfolgend eine kurze Handlungsanleitung, wie am Besten zu verfahren ist, wenn Fotos nicht im journalistischen Kontext aufgenommen bzw. veröffentlicht werden:

  • Ist die Einholung einer schriftlichen Einwilligung möglich (bei Fotoaufnahmen einer überschaubaren Personenzahl): Die schriftliche Einwilligung sollte Informationen über den Zweck und die Nutzung der Fotoaufnahmen beinhalten einschließlich der Kontaktdaten des für die Aufnahmen Verantwortlichen und einen Hinweis auf die Datenverarbeitung, die zugrundeliegende Rechtsgrundlage (was häufig Art. 6 Abs. 1 Satz 1 lit. f) sein dürfte) und die entsprechenden Betroffenenrechte (Recht auf jederzeitigen Widerspruch, Löschungsanspruch, Auskunftsanspruch, Berichtigungsanspruch etc.). Bei geschlossenen Veranstaltungen kann auch über Veranstaltungs-AGB nachgedacht werden, die eine Veröffentlichungserlaubnis enthalten.
  • Ist die Einholung einer schriftliche Einwilligung nicht möglich oder praktikabel (z.B. bei großen Veranstaltungen, Straßenfesten etc.): Die Besucher bzw. „potentiellen Fotomotive“ sollten vor Beginn der Veranstaltung per Aushang an Laternen, Litfasssäulen aber auch per Homepage und Facebook über die Fotoaufnahmen, deren Zweck und Nutzung und über den Verantwortlichen (unter Angabe der Kontaktdaten) informiert werden einschließlich eines Hinweises auf die Datenverarbeitung und der zugrundeliegenden Rechtsgrundlage (was häufig Art. 6 Abs. 1 Satz 1 lit. f) sein dürfte). Auch hier sind den Betroffenen ihre Rechte mitzuteilen (Recht auf jederzeitigen Widerspruch, Löschungsanspruch, Auskunftsanspruch, Berichtigungsanspruch etc., siehe oben).

Zu beachten ist dabei immer, dass auf das Widerspruchsrecht gesondert (in abgetrennter oder herausgehobener Form) hinzuweisen ist. Es muss aus den anderen Informationen herausstechen und ist am besten fett zu unterlegen oder einzurahmen.

Im Endeffekt steht zumindest für fest angestellte Journalisten fest, wie sie sich bei der Veröffentlichung von Bildern hinsichtlich der Themen DSGVO und Datenschutz rechtlich zu verhalten haben.  Alle anderen sollten sich im Zweifel vorab nochmals bei einem Rechtsanwalt absichern, wie die momentane Rechtslage ist.