Gewerblicher Rechtsschutz, Medienrecht und Datenschutz
Newsletter Ausgabe Nr. 4 2016

EuGH zu IP‐Adressen von Internet‐Nutzern

Der EuGH hat am Mittwoch entschieden, dass dynamische IP‐Adressen personenbezogene Daten sind. Damit dürfen Webseitenbetreiber sie nur verarbeiten, wenn sie die strengen Vorgaben des Datenschutzes einhalten.

EuGH, Urteil vom 19.10.2016, C‐582/14

Für Unternehmen und Behörden, die eigene Webseiten betreiben, wirkt der Fall harmlos. Doch er hat es in sich: Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) speichert die IP‐Adressen aller Besucher seiner Webseite für einen Zeitraum von 14 Tagen. Hiergegen klagt Patrick Breyer, schleswig‐holsteinischer Landtagsabgeordneter der Piratenpartei und Datenschutzaktivist, der darin eine unzulässige Überwachung von Internetnutzern sieht. Die beklagte Bundesrepublik sieht sich jedoch im Recht: Sie meint, die Speicherung der IP‐Adressen sei gerechtfertigt, da hierdurch Angriffe auf die Server des BMJV bekämpft. bzw. etwaige Angreifer später strafrechtlich verfolgt werden könnten.

In dem Verfahren hatte der Bundesgerichtshof (BGH) den Europäischen Gerichtshof (EuGH) zwei Fragen zur Auslegung des Europäischen Datenschutzrechts vorgelegt. Erstens: Haben dynamische IP‐Adressen Personenbezug, stellt ihre Speicherung also eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten dar? Und zweitens: Unter welchen Voraussetzungen ist die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt?

Zu diesen Fragen hat der EuGH nun sein Urteil verkündet (v. 19.10.2016, Az. C‐582/14). Er kommt darin zu dem Ergebnis, dass es sich bei dynamischen IP‐Adressen um personenbezogene Daten handelt. Die Regelung des § 15 TMG, der eine Verarbeitung solcher Daten nur zulässt, soweit dies technisch zum Besuch der Seite erforderlich ist, sei zu restriktiv.

Lesen Sie hier weiter.

Dr. Gero Ziegenhorn, Dr. Cornelius Böllhoff, Katharina von Heckel, Berlin

Hyperlinks zu urheberechtlich geschützten Werken nur unter bestimmten Voraussetzungen unterlassungspflichtig

Welche Voraussetzungen das sind, hat am 8. September 2016 der Europäische Gerichtshof entschieden.

EuGH, Urteil vom 08.09.2016, C‐160/15

Im Ausgangsfall ging es um Nacktbilder eines niederländischen Models. Die waren eigens für das Magazin “Playboy“ bestimmt und dann doch unbefugter Weise auf einer australischen Website verbreitet worden. Zu dieser australischen Website verlinkte eine niederländische Nachrichten‐Website. Die Verlegerin des Magazins und Urheberrechtsinhaberin forderte die beide Websites auf, die Fotos zu entfernen. Die australische Website kam dem nach, die niederländische Website aber setzte neue Hyperlinks zu Plattformen, auf denen die Bilder des Models ebenfalls unbefugt verbreitet wurden. Die Verlegerin wirft der Herausgeberin der niederländischen Nachrichten‐Website eine Urheberechtsverletzung vor.

Rechtlicher Knackpunkt ist die Frage, ab wann das Teilen von Hyperlinks eine „öffentliche Wiedergabe“ darstellt. Der Oberste Gerichtshof der Niederlande (Hoge Raad der Niederlanden) legte dem europäischen Gerichtshof (EuGH) diese Frage zur Vorabentscheidung vor. Denn wer Inhalte öffentlich wiedergibt, der braucht dafür die Genehmigung des Urheberrechtsinhabers. So schreibt es die Unionsrichtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft vor. Klar ist: Öffentlich ist die Wiedergabe, wenn die Inhalte durch den Link einer neuen Personengruppe zugänglich gemacht werden.

Doch damit das Teilen des Links zu einer öffentlichen Wiedergabe im Sinne der Unionsrichtlinie wird, verlangen die Luxemburger Richter, dass das Setzen des Hyperlinks in Kenntnis der Rechtswidrigkeit der Veröffentlichung der Werke geschieht. Damit werden Einzelpersonen geschützt, für die nur schwer zu überprüfen ist, ob der Urheber überhaupt seine Erlaubnis zur Online‐Veröffentlichung erteilt hat. Anders sieht es bei Internetnutzern aus, die in Gewinnerzielungsabsicht handeln. Von denen, findet der Gerichtshof, kann verlangt werden, vor der Verlinkung zu prüfen, dass das Werk nicht unbefugt online gestellt wurde. Im Zweifel ist bei Nutzern mit Gewinnerzielungsabsicht also die Kenntnis der Rechtswidrigkeit zu vermuten.

Eva Böning, Tobias Würkert, Bonn

Privacy Shield: Mehr als 250 Unternehmen haben sich bislang verpflichtet

Seit dem 01.8.2016 können sich US‐amerikanische Unternehmen bei dem US‐Handelsministerium auf der Webseite zur Einhaltung des „EU‐US‐Privacy Shields“ verpflichten und sich damit „selbst zertifizieren“. Unter https://www.privacyshield.gov/list wird eine Liste der Unternehmen vorgehalten und aktualisiert. Europäische Unternehmen können anhand dieser Liste überprüfen, ob Unternehmen mit Sitz in den USA, an die sie personenbezogene Daten übermitteln, zertifiziert sind.

„Privacy Shield“ ist das Nachfolgeabkommen des durch das Urteil des EuGH vom 06. Oktober 2015 – Rs. C‐362/14 („Schrems“) für ungültig erklärten „Safe Harbor Abkommens“. Die EU‐Kommission hatte am 12.07.2016 den Angemessenheitsbeschluss für das neue „EU‐US‐Privacy Shield“ getroffen.

Hintergrund ist, dass die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraumes besonderen Voraussetzungen unterliegt. Im Einzelfall ist von der Daten übermittelnden Stelle zu prüfen, ob in dem Empfängerland ein angemessenes Schutzniveau für personenbezogene Daten vorliegt.

Für die USA besteht (anders als z. B. für Schweiz, Kanada) kein „umfassender Angemessenheitsbeschluss“ der EU‐Kommission. An einzelne Unternehmen mit Sitz in den USA können personenbezogene Daten aber dann übermittelt werden, wenn die empfangenden Unternehmen durch die Selbstzertifizierung unter dem EU‐US‐Privacy Shield ein angemessenes Datenschutzniveau gewährleisten.

Datenschützer kündigten bereits im Vorfeld an, auch gegen das Safe Harbor‐Nachfolgeabkommen juristisch vorgehen zu wollen. Angesichts großer Kritik gegen inhaltliche Regelungen des Privacy Shields bleibt abzuwarten, wie sich die nationalen Datenschutzbehörden zum Privacy Shield verhalten und ob sich dieses als zukunftsfähiges Instrument für transatlantische Datentransfers herausstellt.

Katharina von Heckel, Berlin

Folgender Beitrag zum Amazon‐Urteil des EuGH (Rs. C‐191/15) stammt von unserem Allianzpartner im UK, BondDickinson:

Choice of Law vs. Consumer and Data Protection

CJEU, Judgment of 28 July 2016, Case 191/15

EU law recognises the principle that parties to a contract may choose the governing law and jurisdiction applicable to it. However, that principle is subject to important limitations where consumer and data protection laws are concerned. In VKI v Amazon EU (Case C‐191/15) the Court of Justice of the European Union (CJEU) ruled on the effect of those limitations in the context of Amazon's standard terms of business for electronic commerce in Europe.

Following the CJEU's ruling, businesses trading cross‐border with EU consumers should consider updating standard choice of law clauses so that they explain to consumers, using plain and intelligible language, that they are always entitled to any mandatory consumer protections applicable in the country where they live.

Consumer protection

Amazon's online business in Europe is conducted by Amazon EU SARL, incorporated in Luxembourg. Consumers access the service through websites that primarily address the larger markets within the EU, including amazon. co. uk, amazon. fr and amazon. de. In each case, Amazon's standard terms include a clause selecting the laws of Luxembourg to govern the contract.

There is no separate amazon website for Austria, so Austrian consumers make their purchases from amazon. de. That raised the question of whether consumers in Austria could take advantage of the greater degree of protection afforded by Austrian law, or whether their rights would be determined under the laws of Luxembourg.

VKI is an Austrian consumer rights organisation and is qualified under the Injunctions Directive (2009/22) to seek an injunction in another Member State to restrain infringements which harm collective consumer interests in relation to:

  • consumer rights
  • consumer credit
  • package travel
  • unfair commercial practices
  • unfair terms in consumer contracts
  • sale of consumer goods and associated guarantees.

VKI sought an injunction prohibiting Amazon from using standard terms that imposed on consumers a governing law other than that of their own country of residence. Austria's Supreme Court (the Oberster Gerichtshof) asked the CJEU for a preliminary ruling on the correct interpretation and application of several EU instruments that bear on the question of governing law in consumer contracts.

The CJEU said that while national courts must determine whether a term met the Unfair Contract Terms Directive’s requirements of good faith, balance and transparency, it could state the criteria which national court must apply. It held that a choice of law clause would be unfair if it:

  • has not been individually negotiated (which, in practice, means that it is part of the seller's standard terms),
  • is made with a consumer in the course of electronic commerce, and
  • misleads a consumer into thinking that they must accept the lower standard of consumer protection applicable in the seller's country of establishment.

Where the law of the consumer’s country of residence imposes mandatory statutory protections, then the supplier must use plain and intelligible language to inform consumers of those protections, and make it clear that they apply.

Data protection

The CJEU also considered which member state's laws should govern the processing of personal data for the purposes of Article 4(1)(a) of Directive 95/46/EC. This is a particular concern for businesses that wish, for reasons of efficiency, to have a single data controller for all of their activities across the EU rather than separate controllers for each member state. However, that commercial objective does not sit comfortably with the CJEU's interpretation of Article 4(1)(a):

"the processing of data in the context of the activities of an establishment is governed by the law of the member state in whose territory that establishment is situated"

The CJEU confirmed Weltimmo v Nemzeti Adatvedelmi (Case C‐230/14), where the CJEU indicated that the concept of "establishment" extends to any “real and effective activity, even a minimal one, exercised through stable arrangements" and passed the question back to the Austrian court.

Different rules?

The arguments and deliberations in VKI v Amazon suggests that the court's approach to determining whether a business has an "establishment" within a particular EU member state may (for the moment) differ depending on whether the outcome would determine:

  • whether EU data protection laws apply at all, or
  • simply which EU member state's data protection laws would apply.

This point stems from the relationship between the Advocate General's June 2016 Opinion, and the CJEU's subsequent ruling. The CJEU drew heavily, and largely approvingly, on the Advocate General's Opinion. That Opinion referred to the CJEU's 2014 ruling in Google Spain v AEPD (Case C‐131/12) and seemed to suggest that a more rigorous approach might be taken where the result of finding that there was no establishment within an EU member state would mean that EU data protection law did not apply at all. In Google Spain, a very slight (even merely representative) presence in an EU member state was sufficient to engage EU data protection laws. By contrast, the threshold might be slightly higher if the question relates to possible establishment in more than one EU member state where either outcome would result in EU laws applying.

The CJEU did not, in its ruling, follow the Advocate General's suggested distinction but nor did it expressly reject it. Instead, given that the facts related solely to intra‐EU electronic commerce, the CJEU was able to base its ruling solely on the guidance in Weltimmo. The distinction proposed by the Advocate General was, in effect, left hanging. However, even if the court had expressly approved that distinction it would be short‐lived in practice. The EU's General Data Protection Regulation (GDPR) comes into operation on 25 May 2018 and brings with it significantly enhanced extraterritorial reach. Under the GDPR geographical reach is determined not only by the location of processing (as in Directive 95/46) but also by the location of the individual whose data is being processed. The result is that data controllers or processors established outside the EU will be caught by GDPR when processing personal data relating to either:

  • the offering of goods or services (even if free of charge) to individuals within the EU, or
  • monitoring individuals' behaviour within the EU

For the United Kingdom, the extraterritorial reach of GDPR means that it will continue to have relevance whatever the outcome of negotiations and formal processes leading to Brexit.

Andrew Kimble, Partner, Bond Dickinson LLP, +44 2380 20 8422, andrew.kimble@bonddickinson.com

Peter Given, Managing Associate, Bond Dickinson LLP, +44 2380 20 8194, peter.given@bonddickinson.com