10 minute read
Das „digitale Vermummungs verbot“ im Compliance-Check
Das „digitale Vermummungsverbot“ im Compliance-Check
Als Reaktion auf „Hasspostings“ in Foren und Sozialen Netzwerken wurde im Frühjahr der als „digitales Vermummungsverbot“ bezeichnete Gesetzesentwurf in Begutachtung geschickt. Durch die Registrierung von Nutzern in Online-Foren soll das „Internet nicht länger ein rechtsfreier Raum sein“. Seit seiner Veröffentlichung wurde der Gesetzentwurf in den Medien stark diskutiert. Seine erwarteten positiven Auswirkungen und die Vereinbarkeit mit geltendem Recht wurden erheblich angezweifelt. Grund genug, den Gesetzesentwurf einem Compliance-Check zu unterziehen.
Von Andreas Schütz | Jürgen Pölzl
Ein Internetforum ist ein virtueller Platz, der zum Austausch, zur Verbreitung und zur Archivierung von Gedanken, Meinungen und Sichtweisen dient. Es bietet die Möglichkeit, zu einem bestimmten Thema Diskussionsbeiträge selbst zu verfassen, diese zu lesen und beantworten zu können. Unter einem solchen Forum sind auch Soziale Netzwerke (Facebook, Twitter & Co) zu verstehen, die die Möglichkeit zum Meinungsaustausch bieten. Will man künftig in einem der genannten Kommunikationskanäle seine Meinung äußern, ist dies nur nach vorheriger Prüfung der Kontaktdaten des Nutzers (Vorname und Familienname bzw Adresse) durch den Netzwerkbetreiber möglich. Um die Personen im Anlassfall (etwa bei Herabwürdigungen, Demütigungen und Übergriffen) wirksam identifi zieren zu können, ist eine solche Authentifi zierung von Nutzerdaten jedenfalls erforderlich – so die Erläuterung zum neuen Gesetz über Sorgfalt und Verantwortung im Netz.
Stand des Gesetzgebungsverfahrens
Fraglich ist, ob diese Regierungsvorlage auch in der neuen Legislaturperiode genügend politische Unterstützung erfährt. Im Hinblick auf den Regelungsinhalt dient der Gesetzgebungsvorschlag zwar nicht der Umsetzung von Unionsrecht, fällt aber in dessen Kernbereich und ist somit im Vorhinein von der Kommission zu notifi zieren. Gemäß der RL (EU) 2015/1535 sind die Mitgliedstaaten verpfl ichtet, über jeden Entwurf einer technischen Vorschrift zu einem Dienst der Informationsgesellschaft die Kommission zu unterrichten. Gleichzeitig haben die Mitgliedstaaten eine dreimonatige „Stillhaltefrist“ einzuhalten, in der sich sowohl die Kommission als auch die einzelnen Mitgliedstaaten zu dem geplanten Gesetz äußern können. Aufgrund der in den Medien vielfach kritisierten Verstöße gegen nationale als auch unionsrechtliche Normen bleibt abzuwarten, wie sich die Kommission bzw die Mitgliedstaaten zum Gesetzesentwurf äußern. Gegen einen Einwand spricht jedoch das bereits in Kraft getretene deutsche Netzwerkdurchsetzungsgesetz, das eine vergleichbare Materie regelt und von der Kommission bereits notifi ziert wurde.
Welche Änderungen sind durch den Gesetzesentwurf zu erwarten?
Pfl icht zur Registrierung und Authentifi zierung
Die (versuchte) Regulierung der digitalen Welt ist kein neues bzw österreichisches Phänomen. Ziel des deutschen Nezwerkdurchsetzungsgesetzes ist die Bekämpfung von „Hasskriminalität“ und die Veränderung der Debattenkultur im sozialen Netzwerk. Es verpfl ichtet den Netzwerkbetreiber, einen Bericht über den Umgang mit Beschwerden über rechtswidrige Inhalte zu erstellen bzw ein wirksames Beschwerdemanagement zu betreiben, in dem die dafür zuständige Person, ein sogenannter Zustellungsbevollmächtigter, auf Antrag eines Nutzers „offenkundig rechtswidrige“ Beiträge innerhalb von 24 Stunden zu löschen hat. „Was in der analogen Welt geahndet wird, muss auch in der digitalen Welt Folgen haben“ – so das Motto des österreichischen Gestzesentwurfs. Eine gewisse Meinung zu haben und sie zu äußern wird künftig nur mehr für Nutzer möglich sein, die bereit sind, ihre Identität komplett offenzulegen. Für Dienste der Informationsgesellschaft sieht der Gesetzesentwurf in erster Linie eine Registrierungs- und Authentifi zierungspfl icht vor. Die Verpfl ichtung soll jedoch erst ab Erreichen einer relevanten Größe greifen: Diese bestimmt sich nach Umsatz (500.000 Euro in Österreich), Anzahl registrierter Nutzer (mehr als 100.000) bzw danach, ob Fördermittel (in Höhe von mehr als 50.000 Euro; Spezialregelung für verbundene Diensteanbieter) im vorangegangenen oder aktuellen Kalenderjahr gewährt wurden.
Von der Pfl icht sind nicht nur inländische, sondern auch ausländische Anbieter, unabhängig vom Sitz des Unternehmens, betroffen, soweit sie eine solche Plattform – regelmäßig gegen Entgelt – auch für das österreichische Publikum betreiben. Ist ein klarer Konnex zu Österreich gegeben, hat der Plattformbetreiber sicherzustellen, dass Nutzer nur nach erfolgreicher Registrierung Inhalte veröffentlichen dürfen und dass der Nachweis der Identität durch Dokumente, Daten und Informationen von einer glaubwürdigen und unabhängigen Stelle erbracht wird. Die genaue Ausgestaltung der Identitätsprüfung wird hingegen den Plattformbetreibern überlassen.
© AdobeStock
Die Erläuternden Bemerkungen zum Gesetzesentwurf sehen zur Bestätigung der angegebenen Daten durch den Nutzer eine 2-Faktoren-Authentifi zierung mit Mobiltelefonnummer vor. Außerdem käme eine Kooperation mit dem Mobilfunkanbieter in Betracht, der bei begründetem Zweifel die Daten zur Verfügung stellen könnte. Problematisch erscheint dabei die tatsächliche Umsetzbarkeit der Technologie im Hinblick auf Prepaid-Karten, die anonym gekauft werden können und nach aufgebrauchtem Guthaben verwerfbar sind. Auch die Frage der Registrierung von nicht-österreichischen Nutzern mit ausländischen Telefonnummern wirft Probleme auf.
Der Diensteanbieter ist ferner zur Feststellung von Inaktivitäten und zur Hinterfragung der Richtigkeit von Daten verpfl ichtet. Bei einem begründeten Verdacht, dass die Registrierungsangaben des Nutzers unrichtig sind oder mit der Zeit unrichtig geworden sind, hat der Plattformbetreiber den Nutzer zum Nachweis der Richtigkeit seiner Angaben aufzufordern.
Nutzer werden zwar verpfl ichtet, ihre Dokumente, Daten und Informationen zu hinterlegen, dies dient jedoch nur der Identifi zierung durch den Netzwerkbetreiber. Eine Pfl icht zur Verfassung von Beiträgen unter eigenem Namen („Klarnamenpfl icht“) sieht der Gesetzesentwurf weiterhin nicht vor. Die Anonymität bleibt grundsätzlich im Netz erhalten, indem die registrierten Nutzer unter einem selbstgewählten Pseudonym Beiträge posten dürfen.
Pfl icht zur Übermittlung der Daten
Die im Gesetzesentwurf erläuterten Übermittlungspfl ichten bilden den wirklichen Mehrwert der Regelung. Im Vergleich zu geltendem Recht besteht (neben Gerichten und Staatsanwaltschaften) die Möglichkeit auch für Dritte, in Form einer Privatanklage bei privatrechtlichen Ansprüchen gegen die „Verletzung der Ehre“ vorzugehen. Dritte, die sich in ihrer Ehre verletzt fühlen, müssen durch ein begründetes schriftliches Verlangen die Übermittlung der Identitätsdaten des Posters beantragen. Dies bedeutet, dass die dritte Person lediglich glaubhaft machen soll, klagen zu wollen; eine inhaltliche Prüfung, ob der Beitrag tatsächlich ein relevantes rechtliches Delikt darstellt, wird hingegen nicht eindeutig verlangt. Es steht also die subjektive Wahrnehmung des Dritten im Mittelpunkt. Der Diensteanbieter darf jedoch laut den Erläuterungen die gesammelten personenbezogenen Daten nur in gewissen, sachlich begründeten Fällen weitergeben. Anhand welcher Kriterien eine allfällige Ausgabe von Daten erfolgen soll, wird im Gesetzentwurf nicht näher geregelt.
Haftung für Außerachtlassung der Verpfl ichtungen
Als Aufsichtsbehörde für die Einhaltung der Vorschriften des geplanten Gesetzes soll die Kommunikationsbehörde Austria dienen, die gegenüber dem Diensteanbieter zur Verhängung von Geldbußen bis zu 500.000 Euro bzw bei einem wiederholten Vergehen bis zu 1 Mio Euro berechtigt ist. Außerdem kann der zwingend zu bestellende verantwortliche Beauftragte, dem die Verantwortung für die auf das Inland bezogene Tätigkeit obliegt, zur Haftung herangezogen werden. Er wird bestellt, um die Erreichbarkeit des Diensteanbieters bzw Einhaltung der Vorschriften sicherzustellen und gilt zudem als Zustellungsbevollmächtigter. Es ist jedoch, wenn für alle zur Verfügung stehende Mittel zur Überprüfung der Identität gesorgt wurde, eine Haftungsfreistellung sowohl für den Diensteanbieter als auch für den verantwortlichen Beauftragten vorgesehen.
Problembereiche des Gesetzes
Analog zum deutschen Netzwerkdurchsetzungsgesetz hat der österreichische Gesetzesentwurf für große Kritik gesorgt. Unter anderem wurde die Vereinbarkeit mit der Datenschutzgrundverordnung, dem verfassungsrechtlich gewährleisteten Recht auf die Meinungsfreiheit und dem E-Commerce-Gesetz in Frage gestellt. Im Folgenden soll auf diese Problembereiche näher eingegangen werden.
Online-Diensteanbieter sind gemäß Gesetzesentwurf dazu verpfl ichtet, von jedem Poster die Erstellung eines Registrierungsprofi ls, bestehend aus Vor- und
Nachname bzw Adresse, zur Identifi - zierung zu verlangen. Sie haben weiters dafür zu sorgen, dass die zur Authentisierung dienenden Dokumente, Informationen und Daten von einer glaubwürdigen Stelle stammen. Aufgrund dieser Pfl ichten ist aber ein massiver Eingriff in den Anwendungsbereich der Datenschutzgrundverordnung und in das verfassungsrechtlich gewährleistete Grundrecht auf Schutz personenbezogener Daten zu befürchten.
Artikel 5 der Datenschutzgrundverordnung legt den Grundsatz der Datenminimierung fest, der vom Gesetzesentwurf vollkommen außer Acht gelassen wird. Dieser sieht vor, dass Namen und Adressen der Nutzer zwecks Beschleunigung des Tätigwerdens im Fall einer Rechtsverletzung vorsorglich und generell erfasst und gespeichert werden sollen. Eine solche allgemeine und anlasslose Datensammlung ist jedoch weder mit dem Grundsatz der Datenminimierung noch mit der ständigen Rechtsprechung des Europäischen Gerichtshofes und des österreichischen Verfassungsgerichtshofes zur Vorratsdatenspeicherung vereinbar (EuGH 8. 4. 2014, C-293/12 und C-594/12 bzw VfGH 28. 11. 2012, G 47/12). Im Fall des Gesetzesentwurfes kann man zweifelsfrei nicht von einer Datenminimierung sprechen, da die Beschränkung auf das notwendige Maß zur Erreichung des Zwecks deutlich überschritten würde.
Je mehr Daten gesammelt werden, desto größer ist die Gefahr, dass sie in falsche Hände geraten und missbraucht werden. Ein Beispiel ist Südkorea. Ein ähnliches Gesetz wurde eingeführt, hat jedoch weder die Anzahl der Hasspostings reduziert, noch wurden die Daten entsprechend aufbewahrt. Die von den Nutzern gespeicherten Daten auf Servern von Online-Medien wurden Gegenstand eines Hackerangriffs: Es gelangten mehrere Millionen Datensätze in die Hände Unbefugter.
Zwar werden die Daten der Nutzer nach erfolgreicher Identifi zierung unverzüglich gelöscht und es wird somit offenkundig den datenschutzrechtlichen Erfordernissen Genüge getan. Die zwischenzeitige Missbrauchsmöglichkeit der Daten stellt aber ein erhebliches Risiko sowohl für die Nutzer aus Sicht der Geheimhaltung der personenbezogenen Daten als auch für die Diensteanbieter aufgrund der hohen Strafandrohung dar. Wie die Daten vor Missbrauchsrisiken geschützt werden sollen, wird in der Erläuterung nicht näher behandelt.
Anzumerken ist außerdem die im Gesetzesentwurf vorgesehene Verpfl ichtung des Diensteanbieters zur Weitergabe der Daten an Dritte im Falle eines begründeten schriftlichen Verlangens. Dabei wird lediglich auf die subjektive Einschätzung eines Dritten, der sich an der Ehre verletzt fühlt, abgestellt. Er muss nur glaubhaft machen, dass er beabsichtigt, gegen den Nutzer eine Privatanklage einzubringen; auf eine inhaltliche Überprüfung, ob der Beitrag zur Strafverfolgung geeignet ist, wird hingegen verzichtet. Dies bildet einen weiteren Problembereich des Gesetzesentwurfs, da eine einfache Möglichkeit zum Erlangen von personenbezogenen Daten ohne besondere Begründung künftig möglich wird.
Vereinbarkeit mit E-CommerceGesetz (ECG)
Auch die mangelnde Vereinbarkeit mit dem E-Commerce-Gesetz bzw die Europarechtswidrigkeit mit dessen europarechtlicher Grundlage, der E-Commerce Richtlinie, verdient nähere Betrachtung. Zum Schutz der Dienstleistungsfreiheit wird im § 20 ECG (Artikel 3 der Richtlinie über den elektronischen Geschäftsverkehr) das sogenannte Herkunftslandprinzip normiert: Dieses besagt, dass Online-Diensteanbieter nur den rechtlichen Bestimmungen ihres jeweiligen Herkunftslandes unterliegen. Auch die Aufsicht über die Dienste der Informationsgesellschaft soll in jenem Mitgliedstaat erfolgen, in dem der Diensteanbieter niedergelassen ist. Eine Unterscheidung zwischen rechtlichen Anforderungen des privaten und des öffentlichen Rechts ist nicht vorgesehen; es werden alle Rechtsvorschriften des jeweiligen Mitgliedstaates erfasst. Strengere Anforderungen für Diensteanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, dürfen nur in Ausnahmefällen und nur unter engen Voraussetzungen vorgenommen werden.
Der Wortlaut des Gesetzesentwurfs erfasst nicht nur österreichische, sondern auch ausländische Online-Diensteanbieter, sofern sie einen klaren Konnex (etwa Inhalt, Zielgruppe und Sprache der Plattform) zu Österreich aufweisen. Wird also von einem Online-Diensteanbieter ein Forum geschaffen, das auf den österreichischen Markt abzielt, unterliegt er den Vorschriften des vorliegenden Entwurfs. Dies könnte jedoch als ein Widerspruch zum Herkunftslandprinzip gesehen werden. Ausländische Diensteanbieter wären verpfl ichtet, nicht nur die rechtlichen Anforderungen des Herkunftslandes, sondern auch jene des Niederlassungsstaates zu beachten und zu befolgen. Es ist jedoch anzumerken, dass eine effi ziente Möglichkeit zur weltweiten Rechtsdurchsetzung äußerst fraglich ist.
Vereinbarkeit mit Meinungsfreiheit
Sowohl die Grundrechtecharta (Artikel 11) als auch die Europäische Menschenrechtskonvention (Artikel 10) normieren das Recht zur Wahrung der freien Meinungsäußerung. Vom Grundrecht ist sowohl die Meinungsfreiheit als solche als auch die Freiheit erfasst, Informationen und Ideen ohne staatliche Eingriffe zu empfangen und weitergeben zu dürfen. Gemäß Entwurf für das Gesetz über Sorgfalt und Verantwortung im Netz kann ein Nutzer seine Meinung erst nach erfolgreicher Erstellung eines Registrierungsprofi ls kundtun. Durch die Bedrohung der Überwachung ist eine deutliche Reduktion der Teilnahme an öffentlichen Diskussionen zu erwarten, da die Gefahr besteht, sich zB aufgrund von politischen Ansichten, religiösen Überzeugungen oder sexueller Orientierung gegenüber der Öffentlichkeit preisgeben zu müssen. Daraus folgt, dass grundsätzlich auch die anonyme Meinungsfreiheit vom Anwendungsbereich des Grundrechts erfasst ist, da dies erst den Nutzern ermöglicht, ihre Meinung ohne Angst vor Nachteilen zu äußern (vgl EGMR 10. 10. 2013, 64569/09, Delfi AS/Estland).
Fraglich bleibt außerdem die Verhältnismäßigkeit der Regelungen: Nach ständi
ger Rechtsprechung des EuGH stellt eine pauschale und ausnahmslos sämtliche Personen betreffende Verpfl ichtung zur Registrierung für die Nutzung von elektronischen Kommunikationsdiensten nicht das gelindeste Mittel dar und kann in einer demokratischen Gesellschaft nicht gerechtfertigt werden, wenn keinerlei Anhaltspunkte für eine Strafverfolgung vorliegen (21. 12. 2016, C-203/15 und C-698/15).
Resümee
Bei der Zielsetzung des Gesetzesentwurfes, nämlich gegen anonyme Hasspostings vorgehen zu wollen, wird ein wichtiger Punkt übersehen: Eine Mehrzahl der Beiträge werden ohnehin bereits unter Klarnamen verfasst, um die Aussagekraft und die Glaubwürdigkeit des Beitrags zu erhöhen. Das Problem liegt somit nicht bei der fehlenden Regulierung von Onlineforen oder der Identifi zierung des Nutzers, sondern daran, dass es an einer effektive Rechtsdurchsetzung mangelt. Zwar sind wirksame Maßnahmen bei der Verbesserung von Strafverfolgung und der Bekämpfung von Gewalt im Netz selbstverständlich erforderlich, nationale und europäische Vorgaben dürfen jedoch nicht außer Acht gelassen werden.
© Taylor Wessing
Die Autoren RA Mag. Andreas Schütz, LL.M. (links im Bild) ist Partner und Leiter des Datenschutzteams bei Taylor Wessing CEE. Er hat jahrelange Erfahrung in der Beratung nationaler wie internationaler Klienten in allen Bereichen bezüglich Datenschutz und -sicherheit (einschließlich DSGVO). Als Mitglied des IP/IT-Teams ist er ebenso auf die Bereiche Copyright & Media Law, Wettbewerbsrecht, IT & Telecoms sowie öffentliches Wirtschaftsrecht spezialisiert. RAA Mag. Jürgen Pölzl, MBA (rechts im Bild) ist Associate im IP/IT-Team von Taylor Wessing in Wien. Er unterstützt in der Beratung von nationalen und internationalen Klienten in allen Bereichen des Immaterialgüterrechts, der Informationstechnologie und des Datenschutzrechts. Jürgen Pölzl hat einen Fokus auf das Medien- und Urheberrecht sowie E-Commerce und IT-Verträge.
© Taylor Wessing
