Foto-Abmahnung – Was tun?

Es gab sie schon früher, aber seit der Revision des schweizerischen Urheberrechts und dem Telquel-Schutz von Fotos tauchen sie erst recht auf, die Foto-Copyright-Haie, d.h. Anwaltskanzleien, aber auch sonstige Unternehmen, deren Geschäftsmodell darin besteht, andere wegen widerrechtlicher Verwendung von Fotografien, vor allem auf dem Internet, abzumahnen und dafür teilweise horrende Gebühren zu verlangen.

Unsere Klienten fragen uns dann verdattert an, ob diese Abmahnungen wohl seriös seien, ob sie die Fotos effektiv entfernen und die Gebühren bezahlen sollen.

Vorweg: keiner unserer Klienten hat bis jetzt bezahlt und keiner unserer Klienten wurde bis jetzt eingeklagt!

Das bedeutet zwar nicht, dass es keine seriösen und berechtigten Abmahnungen gibt, weist aber darauf hin, dass mindestens die uns bekannten wohl unberechtigt waren.

Foto-Abmahnung – Was tun?

Was soll man also tun, wenn man betreffend behaupteter widerrechtlicher Nutzung von Fotos abgemahnt wird? Das wichtigste ist, dass man einen Beleg für die Inhaberschaft des mit dem Foto verbundenen Urheberrechts verlangt. Wichtig dabei ist auch, dass z.B. eine Generalvollmacht eines Fotografen an eine Agentur nicht reicht. Der Urheber des Fotos, also der Fotograf muss bestätigen, dass er das beanstandete Bild effektiv fotografiert hat und dass er das mit diesem Bild verbundene Urheber-Vermögensrecht (Art. 10 Urheberrechtsgesetz, URG) an die Agentur übertragen hat. Ein solcher Beleg müsste auch für eine erfolgreiche gerichtliche Durchsetzung vorgelegt werden. Dies dürfte der Grund sein, wieso insbesondere US-amerikanische Fotoagenturen, wie z.B. Getty Images, ihre Rechte schlussendlich doch nicht, wie von den durch sie beauftragten Schweizer Anwälten angedroht, auf dem Gerichtsweg durchsetzen. Ein solcher Beleg ist für diese Agenturen im Einzelfall viel zu aufwendig. Bezahlt man an einen Unberechtigten, läuft man Gefahr, dass später auch noch der Berechtigte einen Anspruch erhebt, und man dann zwei Mal bezahlen muss. Wird effektiv ein entsprechender Beleg für die Inhaberschaft eines mit dem abgemahnten Foto zusammenhängenden Urheber-Vermögensrecht vorgelegt, sind zwei weitere Punkte zu prüfen. Mahnt nicht der Inhaber dieses Rechts selbst ab, muss derjenige, der die Abmahnung zugestellt hat, z.B. ein Rechtsanwalt, seinerseits belegen, dass er entsprechend bevollmächtigt ist. Zudem stellt sich die Frage, ob die verlangte Gebühr, die häufig eben horrend ist, überhaupt gerechtfertigt ist. Diesbezüglich kann man sich daran orientieren, wie wohl ein Gericht eine entsprechende Gebühr bzw. einen Schadenersatz wegen widerrechtlicher Urheberrechts-Nutzung berechnen würde. Dabei kommt regelmässig die sogenannte Lizenzanalogie zur Anwendung, d.h. ein Gericht fragt sich, was der widerrechtliche Nutzer wohl dem Berechtigten hätte zahlen müssen, wenn er von diesem legal eine Lizenz für das Foto bezogen hätte. Da die Nutzung aber widerrechtlich war, wird noch eine angemessener, aber nicht übermässiger Zuschlag gemacht; wohl nicht mehr als das Doppelte. Betreffend Urheberrechtslizenzen für Fotos kann man sich gerade bei entsprechenden Plattformen, wie diejenige von Getty Images orientieren. Schlussendlich braucht man selber einen Beleg für die Zahlung, den der Empfänger ausstellen muss.

In jedem Fall, bezahlen Sie nur mit grösster Vorsicht und Zurückhaltung, denn, wie gesagt, keiner unserer Klienten hat bis jetzt bezahlt und keiner unserer Klienten wurde bis jetzt eingeklagt!

Und zum Schluss noch dies. Werden Sie zu Unrecht abgemahnt, könnte diese Abmahnung eine unlautere Handlung nach Art. 3 Abs. 1 lit. b des Lauterkeitsgesetzes (UWG) darstellen, was wiederum nach Art. 23 UWG sogar strafbar sein könnte. D.h. Sie könnten als zu guter Letzt, nach juristischer Abklärung der Sache, allenfalls sogar gegen den Abmahner Strafanzeige bzw. Strafantrag stellen!

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Ombudsstelle – In der Hitze des Gefechts geht sie oft vergessen

Versicherungs-Ombudsmann Martin Lorenzon (Quelle SRF)

In einem Interview in Blick-Online vom 8. August 2020 erklärt der Ombudsmann der Privatversicherung und der SUVA, dass seine Ombudsstelle in über 50 % der Fälle, in denen sie zwischen den Versicherten und den Versicherungen vermittle, zugunsten der Versicherten erfolgreich sei. Das zeigt, dass es sich lohnen kann, das in der Regel kostenlose Mittel der Ombudsstelle bei Streitigkeiten anzurufen. Dies geht in der Hitze des Gefechts in juristischen Auseinandersetzungen oft vergessen.

Methode zur Vermeidung eines Gerichtsprozesses

Das Institut der Ombudsstelle gehört zu den alternativen Streitbeilegungs-Methoden (engl. Alternative Dispute Resolution, ADR), wie Mediation und Schiedsgerichtsbarkeit (engl. Arbitration). Bei diesen Methoden geht es darum, wenn immer möglich eine gerichtliche Auseinandersetzung zu vermeiden. Denn eine solche ist langwierig und teuer und somit der Worst Case.

Einrichtungen einer Branche

Ombudsstelle werden in der Regel von einer Branche selbst eingerichtet, da auch Unternehmen oder eben auch Organisationen, wie die SUVA, ein Interesse daran haben, gerichtlichen Auseinandersetzungen aus dem Weg zu gehen.

Gut vorbereitet zur Ombudsstelle

An eine Ombudsstelle kann man sich auch ohne Vertretung durch einen Rechtsanwalt bzw. eine Rechtsanwältin wenden. Jedoch sollte man den Sachverhalt so klar als möglich darlegen und alle notwendigen Belege dafür beilegen.

Liste von Schweizer Ombudsstellen

In der Schweiz gibt es mittlerweile in vielen Branchen eine Ombudsstelle. Nachfolgendes Liste zeigt eine nicht abschliessende Übersicht mit direktem Link zur Website der entsprechenden Stelle mit deren Kontaktdaten.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Swiss Corona Tracing App – Orwell lässt grüssen?

Hätte der Bund vor einigen Monaten eine Tracing-App lanciert, wäre der Aufschrei gross gewesen. Nun steht die SwissCovid App kurz vor ihrer breiten Lancierung. Eine juristische Prüfung des damit zusammenhängenden Systems zeigt, dass dieses sehr wohl datenschutzkonform ausgestaltet werden kann. Ein juristischer Haken gibt es aber. Die App kommt zu einer Zeit, in der sie wegen kleiner Fallzahlen und wohl wenig motivierten Usern ihren Zweck nicht mehr erfüllen kann. Damit könnte die App gegen das Datenschutzgesetz verstossen und das BAG müsste vom Eidg. Datenschutzbeauftragten zurückgebunden werden. Das hat dieser in einer Stellungnahme sogar explizit vorbehalten.

von Ueli Grüter, LL.M., Rechtsanwalt, Dozent Hochschule Luzern – Informatik

Orwell lässt grüssen?

Hätte der Bund im Januar dieses Jahres angekündigt, eine App zu lancieren, mit dem er seine Einwohnerinnen und Einwohner verfolgen wolle, wäre der Aufschrei enorm gewesen. Man hätte gesagt, es käme für die Schweiz niemals in Frage, Methoden von totalitären Staaten anzuwenden. 1984 von George Orwell würde damit Realität. Nur Monate später lanciert der Bund die SwissCovid Tracing App auf Android und iOS und die drittgrösste Tageszeitung der Schweiz promoted die App sogar aktiv.

Als Jurist, der sich mit rechtlichen Aspekten der digitalen Welt befasst, bin ich technikaffin und werfe dem Bund sogar vor, bei der Bekämpfung des Corona-Virus smarte Möglichkeiten der Datenbeschaffung und Datenanalyse nicht früh und nicht umfassend genug angewendet zu haben. Ich habe die App denn auch bereits als Test-Version heruntergeladen und aktiviert. Aber auch bei mir leuchten bei diesem Projekt die roten Lampen.

Nur noch geringe Anzahl Neuinfektionen

Beim Verfassen dieses Artikels gibt es in der Schweiz lediglich noch etwas mehr als ein Dutzend Neuinfektionen. Prof. Beda Stadler, Biologe und ehemaliger Direktor des Instituts für Immunologie der Uni Bern, meinte dazu in den Medien, es sei nun wahrscheinlicher, einen Fünfer im Lotto zu haben, als mit Corona angesteckt zu werden. Sollte sich dieser Zustand die nächsten Wochen halten oder sogar noch verbessern, ist davon auszugehen, dass niemand mehr daran interessiert sein wird, die App herunterzuladen, wenn diese nach einem Beschluss des Parlaments im Laufe des Junis offiziell und für jedermann lanciert werden soll. Nichtsdestotrotz ist davon auszugehen, dass Covid19 nicht der letzte Virus gewesen ist, der uns bedroht. Es macht also durchaus Sinn, die SwissCovid App zu testen und damit auch zu prüfen, ob die App insbesondere die Prinzipien des Datenschutzes erfüllt.   

Rechtliche Grundlage der SwissCovid App

Am 13. Mai 2020 hat der Bundesrat eine Verordnung über den Pilotversuch mit der SwissCovid App erlassen, worin er die Rahmenbedingungen, insbesondere zum Schutz der Persönlichkeit, relativ eng umschreibt. Zudem stützt sich der Betrieb des SwissCovid App Systems während des Pilotversuchs auf Art. 17a Datenschutzgesetz (DSG) und das Epidemiengesetz (EpG). Für den aktiven Einsatz der SwissCovid App ab dem 25. Juni 2020 hat das schweizerische Parlament das EpG mit einem Art. 60a Proximity-Tracing-System für das Coronavirus ergänzt. In einem separaten Artikel wird diese gesetzliche Grundlage auf «Juristenfutter» erläutert:


Parlament ergänzt Epidemiengesetz mit Artikel zum Corona-Tracing


Dokumentation der SwissCovid App

In einem Faktenblatt beschreibt das Bundesamt für Gesundheit BAG die Funktionsweise der SwissCovid App und publiziert dazu auch eine Datenschutzerklärung. Unter folgenden Links werden die SwissCovid App und deren Grundlagen auf GitHub ausführlich dokumentiert: https://github.com/DP-3T/, https://github.com/DP-3T/documents, https://github.com/admin-ch. Zudem beantwortet das BAG unter folgendem Link häufig gestellte Fragen zur SwissCovid App: https://www.bag.admin.ch/dam/bag/de/dokumente/cc/kom/covid-19-faq-tracing-app.pdf.download.pdf/200513_BAG_FAQ_SwissCovid_App.pdf

So funktioniert die SwissCovid App

Austausch von anonymen Identifizierungscodes

Gemäss Information des BAG sendet die SwissCovid App nach deren Installation und Registrierung durch den User über Bluetooth verschlüsselte Identifizierungscodes in Form von sogenannten Prüfsummen aus. Das sind im Fall der SwissCovid App lange, zufällige Zeichenketten. Wenn sich ein anderes Smartphone, auf dem dieselbe App installiert ist, für insgesamt mehr als 15 Minuten täglich in weniger als zwei Metern Abstand befindet, tauschen die Geräte ihre Prüfsummen aus. Die Prüfsummen enthalten keine Informationen zur Person des App-Users, zum Standort oder zum verwendeten Gerät. Hingegen registrieren die Geräte die Signalstärke des jeweils anderen Geräts, Datum und geschätzte Dauer der Annäherung. So entsteht eine lokale Liste mit Prüfsummen, empfangen von Geräten, denen man für eine längere Zeit nahe war. Damit sind die epidemiologisch relevanten Begegnungen registriert. Als User muss man weiter nichts unternehmen, als das Smartphone bei eingeschalteter Bluetooth-Funktion bei sich haben. Nach drei Wochen werden die Prüfsummen automatisch wieder vom Gerät gelöscht.

Alarm nach Kontakt mit positiv getestetem User

Wenn ein User der SwissCovid App positiv auf das Coronavirus getestet wird, erhält er vom kantonsärztlichen Dienst einen sogenannten Covidcode. Damit kann er die Benachrichtigungsfunktion der App aktivieren. Ob er dies tun will oder nicht, kann der Betroffene auch zu diesem Zeitpunkt frei entscheiden. Solange keine Meldung durch eine verifizierte, infizierte Person erfolgt, werden keine Daten auf den Server des BAG hochgeladen. Aktiviert der betroffene User die Benachrichtigungsfunktion, wird ein «temporärer Schlüssel», d.h. eine anonyme Identifikation der SwissCovid App des infizierten Users an den Server des BAG gesandt. Die Apps der übrigen User fragen den Server regelmässig nach Identifikationen von infizierten Usern ab. Befindet sich auf dem Server eine Identifikation eines infizierten Users, mit dem andere User einen für eine Infizierung relevante Begegnung hatten, erhalten diese von ihrer eigenen App einen entsprechenden Alarm. Die Information erfolgt wiederum anonym. In der Folge können sich die Alarmierten wiederum frei entscheiden, ob sie die in der App genannte Hotline anrufen und die weiteren Schritte, insbesondere die Notwendigkeit eines Tests abklären.

Daten im Codeverwaltungssystem des BAG

Im Falle einer Infektion eines Users werden im Codeverwaltungssystem des BAG neben dem Freischaltcode auch das Datum, an dem die ersten Symptome aufgetreten sind, oder, falls die infizierte Person keine Symptome zeigt, das Testdatum sowie der Zeitpunkt der Vernichtung dieser Daten erfasst. Die Daten des Codeverwaltungssystems werden innert 24 Stunden nach ihrer Erfassung gelöscht.

Garantien des BAG

Das BAG versichert, es würden im Zusammenhang mit der SwissCovid App keine persönlichen Daten oder Bewegungsdaten der App-User gesammelt. Ausserdem würden keine Daten bezüglich der beschriebenen Kontakte zentral gespeichert. Diese verbleiben auf dem Smartphone, sie verlassen das Gerät des App-Users nicht. Es gibt auch keine Verbindung zwischen den ausgesandten Prüfsummen und den Usern der Geräte. Der Einsatz des Systems ist auf die Dauer der Pandemie begrenzt.

Prüfung des Systems durch andere Bundesorgane

Das BAG weist zudem darauf hin, dass die SwissCovid App vom Eidg. Datenschutzbeauftragten, dem Nationale Zentrum für Cybersicherheit und der Nationale Ethikkommission geprüft worden sei.

BAG und seine Partner

Die SwissCovid App wurde im Auftrag des BAG, unterstützt vom Bundesamt für Informatik und Telekommunikation (BIT) und den beiden Eidg. Technischen Hochschulen Zürich und Lausanne sowie der Schweizer Firma Ubique entwickelt.

Dezentralisiertes System

Ein Tracing-System, wie dem vorliegenden, benötigt eine Infrastruktur im Hintergrund. Dafür werden zentralisierte oder dezentralisierte Systeme angewendet. Das bei der SwissCovid App eingesetzte dezentralisierte System folgt dem datenschutzrechtlichen Prinzip der Verhältnismässigkeit. D.h. es werden nur solche und so viele Daten erhoben und bearbeitet, die technisch unbedingt notwendig sind (Datenminimierung). Beim dezentralisierten System der SwissCovid App verbleiben so viele Daten wie möglich auf den Geräten der User. Daten über stattgefundene Begegnungen werden zu keiner Zeit auf einem zentralen Server gesammelt. Ein Server existiert nur, um den Usern zu ermöglichen, mit ihren eigenen Geräten festzustellen, ob es zu relevanten Begegnungen kam. Der Server nimmt keine Informationen auf, die Personen zugeordnet werden können, und vergibt keine Identifikationscodes. Dadurch kann eine zentrale Profilbildung ausgeschlossen werden. Auch sind beim dezentralen Ansatz die Risiken von Zweckänderungen und Angriffen auf den Server geringer.

Anpassung der Betriebssoftware Android und iOS durch Google und Apple

Damit Tracing-Apps, wie die SwissCovid App überhaupt funktionieren, müssen die Betreiber der zugrundeliegenden Betriebssoftware Android und iOS, also Google und Apple, die entsprechenden technischen Voraussetzungen schaffen. Dies ist mit einem Update von Android und iOS im Mai 2020 erfolgt. Die zur Verfügung gestellte Schnittstelle (API) soll die Nutzung vom Bluetooth zur ständigen Messung der Nähe zwischen autorisierten Mobile Apps sicherer, präziser und effizienter machen. Die Verwendung des API soll prinzipiell nur auf eine Mobile App pro Land beschränkt werden. Nach eigenen Angaben werden Apple und Google keine identifizierenden Informationen über User, Ortungsdaten oder Informationen über andere Geräte in der Nähe des Users erhalten. Weiter werde das Projekt nicht kommerzialisiert.

Risikofolgeabschätzung durch BAG und externem Beratungsunternehmen

Im Rahmen des Projekts der SwissCovid App wurde von den Verantwortlichen und von einem externen Beratungsunternehmen eine Risikofolgenabschätzung sowie ein Data Protection Impact Assessment Report erstellt. Dort werden Risiken benannt und entsprechende Massnahmen aufgezeigt. Basierend darauf kommt der Eidg. Datenschutzbeauftragte zum Schluss, dass die Applikation die für die Privatsphäre der User der App bestehenden Gefahren hinreichend aufzeigt und diesen mit angemessenen Massnahmen begegnet.

Prüfung durch Eidg. Datenschutzbeauftragten

Gemäss einer Stellungnahme vom 11. Mai 2020 erachtet der Eidg. Datenschutzbeauftragte (EDÖB) den Versuchsbetrieb mit der App nach Art. 17a Datenschutzgesetz (DSG) als datenschutzrechtlich zulässig. Er verlangt jedoch eine weitere Dokumentation und behält sich aufsichtsrechtliche Massnahmen und Empfehlungen während des Versuchsbetriebs und im späteren regulären Betrieb vor.

Persönliche Identifikation trotz anonymem System nicht ausgeschlossen

Auch wenn das notabene dezentrale System der SwissCovid App technisch anonym funktioniert, ist gemäss einer Feststellung des Eidg. Datenschutzbeauftragten eine persönliche Identifikation von Betroffenen nicht auszuschliessen. So besteht eine gewisse Wahrscheinlichkeit, dass bei der Benachrichtigung einer möglicherweise gefährdeten Person, diese aufgrund ihrer Erinnerung an ihre Sozialkontakte der letzten Tage allenfalls Rückschlüsse auf die Identität der infizierten Person ziehen kann.

Juristische Bewertung der SwissCovid App

Bei der rechtlichen Beurteilung der SwissCovid App geht es primär um datenschutzrechtliche Aspekte, wobei sich fragt, ob die Prinzipien des Datenschutzgesetzes (DSG) eingehalten werden.

Personendaten gemäss Datenschutzgesetz?

Gemäss Art. 3 lit. a DSG fallen unter den Schutz des Datenschutzgesetzes lediglich Personendaten, d.h. Daten, die sich auf eine bestimmte oder mindestens bestimmbare Person beziehen. Da das System der SwissCovid App mindestens technisch völlig anonym funktioniert, könnte man sich auf den Standpunkt stellen, dass das System per se nicht unter das Datenschutzgesetz fällt und damit auch nicht die Einhaltung der datenschutzrechtlichen Prinzipien geprüft werden muss. Der Eidg. Datenschutzbeauftragte ist jedoch in seiner Stellungnahme vom 11. Mai 2020 der Meinung, dass es sich beim Projekt der SwissCovid App um komplexe, automatisierte Bearbeitung grosser Mengen von Daten aus Mobiltelefonen und anderen Smart-Device Quellen der Bevölkerung handelt, die mit Meldungen und Code-Generierungen durch schweigepflichtige Medizinalpersonen ergänzt werden. Aufgrund des Bezugs dieser Datenquellen auf Personen und deren Gesundheit würden auch der Personenbezug und die datenschutzrechtliche Sensibilität des Vorhabens als Ganzes offensichtlich. Obgleich die Teilnehmer nicht identifiziert werden dürften, bleibe das System der SwissCovid App namentlich mit Re-Identifikationsrisiken verbunden, denen mit technischen Vorkehren zum Schutz der Privatsphäre und informationellen Selbstbestimmung der Betroffenen entgegengetreten werden muss. Der Eidg. Datenschutzbeauftragte unterstellt das Projekt also dem Datenschutzgesetz und prüft die Einhaltung der entsprechenden Prinzipien.

Genügende rechtliche Grundlage?

Art. 13 Abs. 1 DSG verlangt für die Erfassung und Bearbeitung von personenbezogenen Daten entweder die Einwilligung des Betroffenen, ein überwiegendes privates oder öffentliches Interesse oder eine gesetzliche Grundlage. Die Anwendung der SwissCovid App ist freiwillig. Der User wird in der App und auf der Homepage des BAG umfassend über die Funktion der App und die Bearbeitung der Daten informiert. Schlussendlich kann er sowohl bei der Aktivierung der App als auch bei der Auslösung und beim Empfang einer Alarmierung frei und explizit zustimmen. Zudem basiert der Betrieb der SwissCovid App auf einem neuen Artikel 60a des Epidemiengesetzes (EpG) (s. dazu im Detail «Parlament ergänzt Epidemiengesetz mit Artikel zum Corona-Tracing») sowie auf einer Bundesrats-Verordnung. Damit ist zweifelsohne eine genügende rechtliche Grundlage gegeben.

Einhaltung der Prinzipien des Datenschutzgesetzes?

Auch der Eidg. Datenschutzbeauftragte geht in seiner Stellungnahme vom 11. Mai 2020 davon aus, dass beim Projekt der SwissCovid App vor allem die datenschutzrechtlichen Prinzipien der Verhältnismässigkeit, der Zweckgebundenheit sowie der Datensicherheit relevant sind.

Einhaltung des Prinzips der Verhältnismässigkeit?

Das Prinzip der Verhältnismässigkeit gemäss Art. 4 Abs. 2 DSG verlangt, dass die Erfassung und Bearbeitung für den dem Betroffenen klar und transparent kommunizierten Zweck notwendig und geeignet ist. Grundsätzlich kann man sicherlich feststellen, dass die im Zusammenhang mit der SwissCovid App erfassten Daten sowohl notwendig wie auch geeignet für den Zweck der App sind. Auch ist die Erfassung und Bearbeitung verhältnismässig im engeren Sinne, als das Prinzip der Datenminimierung angewandt wird. Schlussendlich werden die Daten nach relativ kurzer Zeit gelöscht, nachdem sie für das Tracing-System nicht mehr gebraucht werden. Hingegen gibt es beim Prinzip der Verhältnismässigkeit auch den grössten juristischen Haken. Wie Experten und Medien im In- und Ausland festhalten, erfüllt eine Tracing-App ihren Zweck nur dann, wenn mindestens 60 % der Bevölkerung die App auf ihr Smartphone herunterladen und aktivieren*. Die Zürcher Hochschule für Angewandte Wissenschaften ZHAW hat in einer repräsentativen Umfrage vom 17. bis 26. April 2020 ermittelt, dass in dieser Zeit effektiv 60 % der befragten Personen bereit gewesen wären, die SwissCovid App anzuwenden. In dieser Zeit gab es jedoch über 200 Neuinfektionen und über 30 Todesfälle pro Tag. Zwischenzeitlich sind diese Zahlen stark gefallen. Sollte dieser Trend anhalten, ist äusserst fraglich, ob effektiv noch 60 % der Bevölkerung bereit sind, die SwissCovid App herunterzuladen und zu aktivieren. Sollte der Prozentsatz deutlich unter 60 % liegen, kann somit der Zweck der App nicht mehr erfüllt werden und damit ist der Einsatz der App im Sinne von Art. 4 Abs. 2 DSG nicht mehr verhältnismässig, d.h. insbesondere nicht mehr geeignet. Der Eidg. Datenschutzbeauftragte behält sich denn auch in seiner Stellungnahme vom 11. Mai 2020 explizit vor, dem BAG zu empfehlen, auf die Aufnahme des Vollbetriebs oder dessen Fortführung zu verzichten, sollte sich im Rahmen des Pilot- oder Vollbetriebs abzeichnen, dass die Applikation die in sie gesetzten Erwartungen nicht erfüllen kann (sic!).


*Bundesamt für Statistik publiziert täglich die Anzahl aktiver SwissCovid Apps


Einhaltung des Prinzips der Zweckbindung

Das Prinzip der Zweckbindung nach Art. 4 Abs. 3 DSG besagt, dass Daten nur zu dem Zweck verwendet werden dürfen, der den Betroffenen bei deren Erhebung klar und transparent kommuniziert wurde. Das BAG zeigt in seiner Dokumentation ausführlich auf, dass die von den App-Usern erhobenen Daten, sogar anonymisiert, ausschliesslich für den Betrieb eines Tracing-Systems verwendet und lediglich an Partner übermittelt werden, die das System notwendigerweise unterstützen. Zudem werden die Daten nach dem notwendigen Gebrauch nach relativ kurzer Zeit gelöscht. Damit kann festgestellt werden, dass das datenschutzrechtliche Prinzip der Zweckbindung bei der SwissCovid App mit grosser Wahrscheinlichkeit eingehalten wird.

Einhaltung des Prinzips der Datensicherheit

Nach Art. 7 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Aus den Unterlagen, die das BAG dem Eidg. Datenschutzbeauftragten vorgelegt hat, geht hervor, dass das Tracing-System der SwissCovid App von jenem, dem Bundesamt für Informatik und Telekommunikation (BIT), dem Nationale Zentrum für Cybersicherheit sowie einem entsprechenden externen Partner einer umfangreichen technischen und organisatorischen Prüfung unterzogen worden ist. Dazu gehört auch eine Risikofolgenabschätzung sowie ein Data Protection Impact Assessment Report. Schlussendlich hat der Eidg. Datenschutzbeauftragte bei seiner Prüfung des Systems festgestellt, dass dessen Architektur der auch unter der EU-Datenschutz-Grundverordnung (DSGVO) wichtigen «Privacy by Design» folgt und somit per se datenschutzfreundlich ist.

Facebook, Swisscom, Migrolino & Co.

Big Data und Datenschutz in Kommunikation, Marketing und Werbung

Alles spricht über die «Datenkrake» Facebook im fernen Silicon Valley. Im Schatten von Facebook segeln aber auch Schweizer Unternehmen, deren Datenhunger gerade so gross ist. «Swiss Big Data» ist nicht per se illegal. Für Marketing- und Kommunikationsleuten ist es aber entscheidend, die rechtlichen roten Linien zu kennen, um nicht in einen juristischen Hammer zu laufen und Reputationsschäden zu vermeiden.

Bisher haben Swisscom und Migros vor allem unsere Daten in Bezug auf Dienstleistungen und Käufe gesammelt. In neuster Zeit gehen sie dazu über, uns zu fotografieren. Swisscom tut dies im Shop, um wartende Kunden für die Berater zu identifizieren. Migros plant Migrolino-Shops ohne Personal und will darum die Gesichter ihrer Kunden ebenfalls scannen. Auch wenn die Betroffenen, abgestumpft durch den Datenhunger ihrer Lieblingstools Facebook, WhatsApp und Instagram, bei ihren persönlichen Daten recht freigiebig geworden sind, stutzen sie nun doch bei den Berichten über Praxis und Absichten von Swisscom und Migrolino, ihre Gesichter zu scannen.

Rote juristische Linie im Datenmarketing

Datensammeln zu Marketing-Zwecken ist nicht verboten. Vielfach dient das Datenmarketing auch den Betroffenen selbst. Die rote juristische Linie findet sich in Artikel 4 des Datenschutzgesetzes (DSG), den Grundsätzen des schweizerischen Datenschutzes. Für Marketing und Kommunikation sind dabei vor allem der Grundsatz der Verhältnismässigkeit und der Zweckgebundenheit von besonderer Relevanz. Nach dem Grundsatz der Verhältnismässigkeit dürfen Daten von Usern und von Kunden nur dann gesammelt werden, wenn sie für den dem Betroffenen vom Sammler kommunizierten Zweck notwendig und geeignet sind. Nimmt jemand z.B. an einem Wettbewerb teil, ist es lediglich notwendig, dass der Teilnehmer eine Offline- oder Online-Adresse angibt, damit man ihn über einen allfälligen Gewinn informieren kann. Weitere Informationen, wie z.B. Geburtstag, Geschlecht oder Zivilstand sind für diesen Zweck weder notwendig noch geeignet und damit deren Erfragung unverhältnismässig. Bei der weiteren Verwendung dieser Wettbewerbs-Daten muss der Grundsatz der Zweckgebundenheit eingehalten werden. D.h., dass Daten nur für den dem Betroffenen bei der Erhebung kommunizierten Zweck verwendet werden dürfen. In Bezug auf die Wettbewerbs-Daten bedeutet dies, dass diese Daten z.B. nicht für künftige Werbung verwendet werden dürfen. Dies wäre ein klarer Verstoss gegen das Datenschutzgesetz. Will man dies trotzdem tun, muss beim Wettbewerb eine separate Box gesetzt werden, die von den Teilnehmenden angekreuzt werden kann, wenn sie über den Wettbewerb hinaus Werbung wünschen.

Gesichts-Scanning legal?

Unser Gesicht ist Teil unserer Persönlichkeit gemäss Zivilgesetzbuch (ZGB) und damit gemäss Artikel 28 ff. ZGB geschützt. Erfolgt eine Aufnahme bzw. ein Scanning ohne Einverständnis des Betroffenen verletzt bereits die Aufnahme bzw. das Scanning an sich die Persönlichkeit; d.h. also nicht erst deren Verwendung. Erhebung und Bearbeitung dieser personenbezogenen Daten fallen aber auch unter die genannten datenschutzrechtlichen Grundsätze der Verhältnismässigkeit und der Zweckgebundenheit. Wenn nun Swisscom und Migrolino ihre Kunden zur Identifizierung in ihren Shops fotografieren, verlangt dies vorab deren explizites Einverständnis. Ein Gesichts-Scanning darf zudem nur gemacht werden, wenn dies für den entsprechenden Zweck notwendig und geeignet ist. Dabei verlangt der Grundsatz der Verhältnismässigkeit auch, dass für die Erreichung des Zwecks immer das Mittel angewendet wird, das am wenigsten in die Persönlichkeit der Betroffenen eingreift. Bis anhin hat Swisscom offenbar für ihre Berater jeweils besondere Kennzeichen ihrer Kunden notiert («Mann, grüne Jacke, Brille» o.ä.). Offenbar hat dies funktioniert. Die Post sowie die Apotheken-Gruppe BENU setzen auf das System «Take a Number». Auch dies scheint praktikabel zu sein. Die Valora-Gruppe hat soeben einen Test mit einem Shop ohne Personal durchgeführt. Dort haben sich die User bei Eintritt ins Geschäft mit einer App identifiziert. Auch dies schein funktioniert zu haben. Das bedeutet, dass es offensichtlich Identifikations-Methoden im stationären Handel gibt, die bedeutend weniger in die Persönlichkeit der betroffenen eingreifen. Damit muss davon ausgegangen werden, dass das Fotografieren bzw. Scannen der Gesichter der Kunden als schwerer Eingriff in deren Persönlichkeit unverhältnismässig sind. Fragt sich noch, ob das Einverständnis der Kunden die Sache legal macht. Nein. Art. 27 Abs. 2 ZGB als Teil des Persönlichkeitsrechts schützt die Personen vor der «Entäusserung ihrer Freiheit». Dieser Artikel, der schon seit Jahrzehnten Teil des Schweizer Persönlichkeitsrechts ist, erlebt im Zeitalter der Digitalisierung, in dem die User bereit sind, ihr letztes «Daten-Hemd» für eine unwiderstehliche App hinzugeben, eine eigentliche Renaissance. Mit dieser gesetzlichen Bestimmung schützt der Staat die Leute vor sich selbst.

Risiken des Datenhungers

Das schweizerische Datenschutzgesetz ist nach wie vor ein «Tiger ohne Zähne». Die Verletzung der Datenschutzgrundsätze hat praktisch keine juristischen Konsequenzen. Biss haben lediglich Verfügungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragt (EDÖB). Dieser kann von sich aus oder auf Anzeige hin auf den Plan treten. Hingegen sind die Reputationsrisiken nicht zu unterschätzen. Die Medien messen Unternehmen an den Datenschutz-Grundsätzen. Datenschutz ist ein Key Issue des E-Commerce. Die Fälle von Facebook haben gezeigt, dass die Thematik geeignet ist, sogar einen «Big Player» ins Wanken zu bringen.

High Risk beim Daten-Fischen in der EU

Seit Mai letzten Jahres gilt in der EU die neue Datenschutz-Grundverordnung (EU DSGVO). Grundsätzlich gelten in der EU nach wie vor die ähnlichen Datenschutzgrundsätze, wie in der Schweiz. Die EU DSGVO ist aber ein eigentlicher «Game Changer». Denn neben Schadenersatzforderungen der Betroffenen drohen Unternehmen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Hilfreiche Online-Quellen des Datenschutzes

Übersicht über den Datenschutz der Schweiz und der EU: www.digilaw.ch («Data Protection»)

Detaillierte Informationen des EDÖB: www.edoeb.admin.ch («Datenschutz»)

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, www.digilaw.ch, www.twitter.com/juristenfutter, www.linkedin.com/in/ueli-grueter

Wenn die Linke nicht weiss, was die Rechte tut

Digital Law & Legal Tech

Seit der Jahrtausendwende werden laufend neue Bereiche unseres Lebens von der Digitalisierung erfasst und teilweise dermassen verändert, dass von einer eigentlichen Revolution gesprochen wird. Als Abbild von Gesellschaft, Wirtschaft und Technik spiegelt sich die Digitalisierung in Recht und Ethik. Dabei werden jene in einer noch nie dagewesenen Art verzahnt. Diese ausserordentliche Situation verlangt eine enge Kooperation zwischen Fachleuten in Ökonomie, Technik und Recht. Das Verständnis des je anderen Fachbereichs spielt im Kontext der digitalen Welt eine entscheidende Rolle. Von den Akteuren werden sowohl ökonomische wie technische und rechtliche Kompetenzen verlangt. Kommt dazu, dass die Digitalisierung die Fachleute vermehrt an die Grenzen ihrer Möglichkeiten bringt. Jene können nur mit unkonventionellen Lösungen auch in Recht und Ethik überwunden werden.

Artikel als PDF

Rechte und Pflichten als Algorithmen

In der digitalen Welt ist am Ende alles Software. So auch die Verträge. Rechte und Pflichten werden nicht mehr auf Papier geschrieben, sondern in Algorithmen gefasst, den Bausteinen von Computerprogrammen. Damit entstehen sogenannte «Smart Contracts». Diese zeichnen sich dadurch aus, dass sie ohne weitere Eingriffe Vertragsverhältnisse selbst abwickeln. Ein einfaches Beispiel ist die Lizenz für Güter wie Software oder Musik. Das Programm prüft den Eingang der Zahlung des Lizenznehmers und gibt dann die Lizenz frei.

Blockchain – Neue Plattformen für neue Organisationsstrukturen

Während es sich bei den Smart Contracts um ein relativ einfaches Beispiel von digitalisierten Rechtsverhältnissen handelt, nimmt die Komplexität bei Blockchains als neue Plattformen für die digitale Organisation von Projekten, aber auch als Plattformen für Smart Contracts enorm zu. Das strukturelle und technische Verständnis ist bei Blockchains sogar für Informatikerinnen und Informatiker eine Herausforderung, erst recht für Juristen und Ökonominnen. Juristisch kommen zu den vertragsrechtlichen Fragen der Rechtsverhältnis-se zwischen den Projektpartnern und diesen und den Usern vor allem knifflige datenschutzrechtliche Fragen. Mit der Anwendung der Datenschutz-Grundverordnung (DSGVO) in der EU hat die Problematik sogar noch enorm an Bedeutung zugenommen.

Der Weg ist das Ziel – Agile Projekte mit agilen Verträgen

Wenn Ökonomen und Technikerinnen erklären, sie möchten zusammenarbeiten, hätten jedoch noch keine Ahnung wohin das Projekt führt, der Weg sei sozusagen das Ziel, sie bräuchten dafür aber einen Vertrag, dann sind Juristinnen und Juristen gefordert. Mit der Digitalisierung haben solche Formen der Zusammenarbeit zugenommen. Die Lösung für solche agilen Projekte sind in der Regel agile Verträge. Da man sich einen solchen Vertrag als Jurist/in nicht einfach aus den Fingern saugen kann, sind aber auch die beteiligten Ökonominnen und Techniker gefordert. Dafür müssen sie wissen, auf was es bei einem solchen Vertrag aus juristischer Sicht ankommt. Wesentlich sind dabei das Worst-Case und das Varianten-Denken der Juristinnen und Juristen.

Legal Tech

Während sich Juristinnen und Juristen mit laufend neuen Herausforderungen der digitalen Welt beschäftigen, zieht seit Jahren unspektakulär die digitale Welt in ihrem unmittelbaren Umfeld ein, die «Legal Technology», kurz «Legal Tech». Obwohl man denkt, Legal Tech sei eine neue Erscheinung, handelt es sich, weit gefasst, um Technologien die teilweise seit über zwanzig Jahren existieren. Legal Tech unterstützt bis anhin Juristinnen und Juristen bei ihrer Arbeit. Mit künstlicher Intelligenz erledigt nun aber Legal Tech einfache juristische Arbeiten selbst. In gewissen Gebieten, wie der Compliance und der Finanzmarktregulierung wäre die Arbeit für die Juristinnen und Juristen ohne Legal Tech sogar nicht mehr zu bewältigen. Für den juristischen Menschen bleiben komplexe, strategische Denkaufga-ben.

Damit die Rechte weiss, was die Linke tut

Bis anhin haben Juristinnen Verträge redigiert und Programmierer Software entwickelt. Smart Contracts, aber auch die Anwendung von Blockchains und anderen, neuen komple-xen digitalen Systemen verlangen nun eine Kooperation und Kommunikation der beiden Disziplinen, wobei sich Juristinnen und Juristen die Basics der technischen Grundlagen aneignen müssen, Informatikerinnen und Informatiker die Basics der digitalrechtlich relevanten Regulatorien und die Ökonominnen und Ökonomen beides. Denn, weiss der Jurist nicht was die Informatikerin oder der Ökonom tut und umgekehrt, kann dies fatale Folgen haben. Auch die Haftung in digitalen Projekten ist ein neues Thema! Dabei werden sich inskünftig weder Juristinnen noch Informatiker noch Ökonominnen darauf berufen können, sie bräuchten keine Kenntnisse der jeweils anderen Disziplin.

Voraussetzung einer erfolgreichen digitalen Transformation aus kombiniert ökonomisch-informationstechnisch-juristischer Sicht ist die Notwendigkeit, dass «die Linke weiss, was die Rechte tut» und umgekehrt!

Die Hochschule Luzern – Informatik führt ab Herbst 2019 das CAS Digital Law & Legal Tech durch. In diesem interdisziplinären Kurs geht es darum, dass sich Fachleute aus Wirtschaft, Technik und Recht die Basics der jeweils anderen Disziplin aneignen und sich zusammen mit den Hot Topics in Digital Law & Legal Tech vertieft auseinandersetzen. Detaillierte Informationen zum neuen CAS finden sich unter folgendem Link: https://www.hslu.ch/de-ch/informatik/weiterbildung/digital-value-creation/cas-digital-law-legal-tech/.

Weitere Informationen zu «Digital Law» auch im Online-Lehr- und Fachmittel digilaw.ch.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Neuer CAS Digital Law & Legal Tech

Erfolgreiche digitale Projekte basieren auf effizienter, interdisziplinärer Zusammenarbeit. Der neue Zertifikatskurs der Hochschule Luzern CAS Digital Law & Legal Tech vermittelt deshalb neben juristischen Kompetenzen im digitalen Bereich auch technische Grundlagen und einen Einblick ins Geschäftsfeld von Legal Technology.

Mehr Informationen: https://www.hslu.ch/de-ch/informatik/weiterbildung/digital-value-creation/cas-digital-law-legal-tech/

Cybercrime oder Cyberwar?

Cyberversicherungen

2017 wurde der amerikanische Lebensmittelkonzern Mondelez (Toblerone, Stimorol, Milka u.v.a.) Opfer einer Cyberattacke mit der Malware Petya bzw. NotPetya. Mondelez hat eine Cyberversicherung bei der Schweizer Versicherungsgesellschaft Zurich. Diese weigert sich jedoch den Schaden von behaupteten US$ 100 Mio. (!) zu übernehmen. Zurich wendet ein, die Police mit Mondelez enthalte einen Passus, der Risiken aus „feindlicher oder kriegsähnlicher Handlung“ durch eine „Regierung oder souveräne Macht“ ausschliesst. In der Folge hat Mondelez bei einem Gericht im US-Bundesstaat Illinois gegen Zurich Klage eingereicht. Gemäss beim Gericht eingereichter Unterlagen wurden bei Mondelez 1’700 Server und 24’000 Laptops dauerhaft beschädigt.

Ueli Grüter zum Cyberstreit zwischen Mondelez und Zurich in der Sendung 10vor10 von SRF vom 07.02.2019

Beweislast liegt bei Zurich

Da es sich um einen Versicherungsausschluss handelt, muss Zurich nun beweisen, dass die Cyberattacke gegen Mondelez ein feindliche oder kriegsähnliche Handlung einer Regierung oder einer souveränen Macht war. Dies dürfte ein sehr schwierig zu erbringender Beweis sein, da er wohl nur mittels Informationen von Geheimdiensten möglich ist, die für einen Zivilprozess wohl schwierig zu bekommen sind. Kann Zurich den Beweis nicht erbringen, wird Zurich wohl zahlen müssen. Bei der Sache Mondelez versus Zurich dürfte es sich um einen Präzedenzfall handeln, wurden doch bis jetzt nur Fälle von Cybercrime und nicht von Cyberwar gerichtlich beurteilt.

Unterschied zwischen Cybercrime und Cyberwar

Der Unterschied zwischen Cybercrime und Cyberwar ist, dass Cybercrime von Privaten begangen wird, währenddem Cyberwar von einem Staat (oder einer Volksgruppe) ausgeht (s. auch Wikipedia zur Definition des Begriffs „Krieg“: https://de.wikipedia.org/wiki/Krieg).

Sind Cyberversicherungen sinnvoll?

Immer, wenn in einem Fall eine Versicherung eine Zahlung verweigert, stelle sich auch die Frage, ob sich ein solche Versicherung denn überhaupt lohnt. Dies kann man sich natürlich auch bei einer Cybersicherung fragen. Bei allen Versicherungen sind für diese Einschätzung folgende Punkte bzw. Fragen wichtig:

Welches sind die konkreten Risiken und sind sie durch die Versicherung wirklich gedeckt bzw. eben nicht ausgeschlossen?

Ist die Summe der Versicherungsdeckung genügend hoch?

Was ist bei Cyberversicherungen besonders zu beachten?

Da die Risiken für die Versicherungen im Bereich Cybercrime besonders hoch sind, neigen sie dazu, diverse Risiken vom Versicherungsschutz auszuschliessen. Aus diesem Grund ist es bei der Cyberversicherung besonders wichtig, genau hinzuschauen und auch das „Kleingedruckte“ zu lesen und kritisch zu hinterfragen. Wenn nicht klar ist, ob ein Risiko wirklich gedeckt ist oder Klauseln nicht klar sind, müssen diese Punkte unbedingt mit der Versicherung erörtert werden. In der Folge sollte sich eine Versicherung auch zur Deckung von strittige Risiken explizit und schriftlich bekennen.

Offensichtlich haben sich weder Mondelez, noch Zürich mit der Ausschlussklausel betreffend Cyberwar ausdrücklich befasst. Sonst würden sie sich jetzt nicht vor Gericht gegenüberstehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Sogar K-Tipp verschickt Spam-Mails!

Das Konsumentenmagazin K-Tipp, das Woche für Woche illegale Machenschaften von Unternehmen anprangert, hat heute selbst ein Spam-Mail versandt! Ich war zwar einmal Abonnent von K-Tipp, bin es aber zwischenzeitlich nicht mehr. Als ich mich mit einem Klick auf den Unsubscription-Button („Klicken Sie hier, um sich vom Newsletter abzumelden“) vom Newsletter abmelden wollte, wurde ich auf eine Seite geleitet, auf der ich mich wieder für den Newsletter anmelden, jedoch nicht abmelden kann (sic!) – und bin prompt reingefallen …

Dieses E-Mail von K-Tipp ist damit umfassend illegal. Es verstösst sowohl gegen das Opt-in-, wie auch gegen das Opt-out-Prinzip von Art. 3 Abs. 1 lit. o Lauterkeitsgesetz (UWG). Ein Verstoss gegen Art. 3 UWG kann nach Art. 23 UWG mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden. Die Details betreffend Spam-Mails werden im Blog-Beitrag Spam – Unerwünschte E-Mails sind illegal erörtert.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch

Dürfen Schulen Fotos von Kindern publizieren?

Eltern kennen es. Immer zu Beginn eines neuen Schujahres geben Kindergärten, Schulen und Kinderhorte den Kindern und Jugendlichen Formulare mit nachhause, mit denen sie von den Eltern die Erlaubnis der Publikation von Fotos und sogar Videos der Kinder und Jugendlichen verlangen. Ein Vater hat mich gefragt, wie man denn darauf reagieren soll und was die Schule, der Hort mache, wenn man das Einvertändnis verweigere.

Jeder hat das Recht am eigenen Bild. Dieses Recht ist Teil der Persönlichkeit und in der Schweiz in Art. 28 ff. des Zivilgesetzbuches (ZGB) geregelt. Ein Eingriff in diese Persönlichkeit ist nur zulässig, wenn insbesondere der Betroffene sein Einverständnis gibt.

Dabei ist zu unterscheiden zwischen Aufnahmen, die einzelne Personen fokussiert oder von Aufnahmen von Gruppen weniger Personen einerseits, und Personen die entfernt in Sujet stehen, bei der Schule z.B. auf einem Pausenplatz. Bei letzteren spricht man, etwas unschön, von den Personen als „Staffage“, was gemäss Duden soviel wie „[schmückendes] Beiwerk; Ausstattung“ bedeutet. Letztere dürfen gemäss Lehre und Rechtsprechung grundsätzlich ungefragt, d.h. ohne explizites Einverständnis fotografiert werden.

Kinder und Jugendliche sind bezüglich des Rechts am eigenen Bild weder besser, noch schlechter geschützt, als Erwachsene.

Für den Fall der Schule bedeutet dies, dass diese für das fokussierte Fotografieren oder Filmen von einzelnen Schülern oder kleineren Schülergruppen das explizite Einverständnis sowohl des Schülers, wie auch seiner Eltern benötigt. Verweigern Eltern und/oder Schüler das Einverständnis, dürfen die entsprechenden Schüler nicht fokussiert oder in kleinen Gruppen fotografiert oder gefilmt werden. Grundsätzlich genügt das spätere Pixeln dieser Schüler den fesetzlichen Vorgaben nicht. Denn, wie erwähnt, ist nur schon die Aufnahme ohne explizites Einverständnis nicht zulässig.

Zu beachten ist, dass schon die Aufnahme eines Bildes eine Persönlichkeitsverletzung darstellt und nicht erst dessen Publikation, wenn dafür die Einwilligung des Betroffen nicht vorliegt.

Übrigens. Aus dem Umstand, dass ein Kind oder ein Jugendlicher auf dem Internet Sefies publiziert, darf nicht geschlossen werden, dass das Kind, der Jugendliche generell mit der Publikation von Bildern seiner Person einverstanden ist. Das Kind, der Jugendliche bzw. seine Eltern dürfen in jedem einzelnen Fall darüber frei entscheiden.

Institutionen, die Kinder betreuen, wie Schulen, Horte, aber z.B. auch Pfadis und Fussballclubs ist zu raten, mit der Aufnahme und der Publikation von Fotos und Videos von Kindern und Jugendlichen äusserst vorsichtig umzugehen und sich strikt an die gesetztlichen Regeln zu halten. M.E. ist die Sensibilität der Betroffenen sehr gross und die Bereitschaft zur Ergreifung von Rechtsmitteln hoch.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch

Gefangen in Internet und Suchmaschinen?

Einmal im Internet – immer im Internet? Wie löscht man Content aus Internet und Suchmaschinen?

Vor kurzem habe ich ein öffentliches Profil auf einer Online-Plattform für Kunst sowie ein Inserat für eine Assistenz auf der Job-Plattform einer Universität löschen lassen. Dabei ist es weder der Kunst-Plattform, noch der Job-Plattform auf Anhieb gelungen, die Inhalte so zu löschen, dass sie auch aus den Speichern der Internet-Suchmaschinen, allen voran Google gelöscht werden. Die Kunst-Plattform hat mich auf erste Rückfrage sogar darauf hingewiesen, dass die Sache mit den Suchmaschinen nicht ihr Problem sei … Da eine solche Haltung und Praxis insbesondere nach der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) besonders risky ist (hohe Bussen!), ist es für Online-Anbieter wichtig, diese Sache kurz aus juristischer Sicht zu erläutern.

Inbesondere die EU-DSGVO (Art. 17 DSGVO), allgemein aber auch das schweizerische Datenschutzgesetz (Art. 4 DSG) sehen ein Recht auf Löschung („Recht auf Vergessen“) explizit vor. Insbesondere das Recht der DSGVO wird nun streng gehandhabt. Basierend darauf müssen Datenverarbeiter und Suchmaschinen-Betreiber insbesondere Daten löschen, die für den Zweck, für die sie erhoben wurden, nicht mehr gebraucht werden (Grundsatz der Verhältnismässigkeit, Grundsatz der Zweckbindung). Tun sie dies nicht, verletzen sie die entsprechenden datenschutzrechtlichen Grundsätze bzw. Prinzipien.

Aus diesem Grund haben Suchmaschinen, wie Google nun Online-Tools eingerichtet, bei denen konkrete Anträge auf Löschung gestellt werden können. Bei Google findet sich das entsprechende Tool mit entsprechender Erklärung unter folgendem Link: https://support.google.com/webmasters/answer/7041154. Allerdings verlangt Google für einen Löschungsantrag, was m.E. nicht rechtens ist, dass man sich bei Google anmeldet bzw. einen entsprechenden Account eröffnet.

Wichtig ist aber, und das ist absolut rechtens, dass Google grundsätzlich nur dann löscht, wenn auch der originäre Inhalt, also der Inhalt auf einer entsprechenden Website gelöscht ist. Das bedeutet eben für die Anbieter von Websites, dass sie öffentliche Profile und anderen Content so löschen, dass er auf dem Netz nicht mehr sichtbar ist.

In unserer Praxis haben wir auch immer wieder Fälle, in denen sich sowohl die Website-Betreiber, wie auch Suchmaschinen, wie Google, weigern, Content zu löschen. Sollte solcher Content jedoch gegen geltendes Recht verstossen (u.a. Datenschutz, Persönlichkeitsverletzung), können wir als Rechtsanwälte auch direkt eingreifen und die Suchmaschinen direkt offline zu Löschung auffordern. Dabei kommt uns zugute, dass immer mehr der Big Players des Internets in der Schweiz einen Sitz einreichten, wie z.B. Google in Zürich. Damit haben wir juristisch einen direkt Zugriff basierend auf schweizerischem Recht. Diesbezüglich haben wir insbesondere mit Google immer gute Erfahrungen gemacht.

Schlussendlich ist darauf hinzuweisen, dass es sich lohnt, die eigene Person, das eigene Unternehmen von Zeit zu Zeit zu „googeln“, und zu checken, welche Einträge in Suchmaschinen bestehen. Sollten Einträge nicht mehr aktuell sein oder sogar falsch, muss direkt bei den Website-Betreibern interveniert werden. Sollten die Website-Betreiber (rechtswidrig) keine Kontaktadresse auf ihrer Site publizieren, können die Inhaber von Websites über Online-Tools, wie www.eurodns.com/de/whois-suche abgefragt werden.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch