Beim Aufbau unternehmenseigener Communitys stellen sich nicht nur viele technische und strukturelle Fragen. Auch rechtliche Überlegungen begleiten eine Community dauerhaft.
Mache ich mir als Unternehmen Nutzerbeiträge zu eigen, wenn ich diese moderiere? Welche Auswirkungen hat Artikel 17 auf unternehmenseigene Plattformen? Welche Kommentare eines Nutzers darf ich löschen? Muss ich mit ehrenamtlichen Nutzermoderatoren einen Auftragsdatenverarbeitungsauftrag abschließen?
Über all diese Themen und viele mehr habe ich mit Dr. jur. Thomas Schwenke gesprochen.
Thomas Schwenke gehört zu den bekanntesten Marketinganwälten Deutschlands. Er berät international Unternehmen sowie Agenturen im Datenschutz, Marketing- und Vertragsrecht und bietet den bekannten Datenschutzgenerator an.
Registrierung per Doppel-Opt-in
- Wenn sich die Nutzer für eine Community registrieren, die ein Opt-in-Verfahren per Mail anbietet, die User diesen Opt-in-Link aber nicht anklicken. Darf ich dann nachhaken? Wenn ja, nach welchem Zeitraum und wie oft? Muss ich dabei etwas beachten?
Eigentlich darfst du die Person nicht daran erinnern. Die Person meldet sich an und mit Hilfe der Doppel-Opt-in-E-Mail, musst du feststellen, ob die Identität der Person zutrifft. Erst, wenn du ein positives Zeichen der Aktivität hast, heißt jemand klickt auf aktivieren, erst dann, darfst du Einladungen für die Community rausschicken.
Die Mail darf auch grundsätzlich nicht die Vorteile der Community beschreiben. Wenn da jetzt stehen würde „unsere Community kann dies und das, klicke hier, um zu bestätigen, dass du dabei sein wirst“, dann wäre das schon Werbung, wenn die Community einen kommerziellen Hintergrund hat.
Wenn ich keine Antwort bekomme, dann kann ich nicht davon ausgehen, dass es sich tatsächlich um den Inhaber der Mailadresse handelt. Ich müsste im Moment davon ausgehen, dass ich potenziell eine Mail an jemanden schicke, der sich nicht angemeldet hat. In diesem Fall würde man werbliche Kommunikation annehmen.
In der Praxis wird das aber häufig gemacht. Da in solchen Fällen, die Wahrscheinlichkeit, dass man abgemahnt wird oder sich jemand beschwert sehr gering ist. Es ist möglich, dass man abgemahnt wird, aber rein rechtlich gesehen, ist das Risiko sehr gering. Wenn jemand kein Risiko tragen möchte, würde ich davon Abstand nehmen.
Was den Bereich E-Mail-Versand angeht, ist die Praxis eher abweichend von der Theorie. Das ändert sich jetzt etwas mit der Datenschutzgrundverordnung (DSGVO), da die Datenschutzbehörden aktiver hinterher sind. Abmahnung im kommerziellen Bereich lohnen sich meistens in Kauf zu nehmen.
Wenn es bei einer Erinnerungsmail bleibt, ist das Risiko aber sehr gering. Ich halte es für rechtlich-wirtschaftlich vertretbar.
Telemediengesetz
- Wenn ich in meiner Community einen 1:1 Chat anbiete oder andere Nachrichtensysteme (Mails, Benachrichtigungen) muss ich mich dann an das Telemediengesetz halten? Wenn ja, was bedeutet das?
Ja, das Telemediengesetz ist bei diesen Fällen einschlägig. An das Telemediengesetz musst du dich immer halten, wenn du ein Dienstanbieter bist und einen Service anbietest, der nicht nur rein privat ist.
Ein Forum ist ja auch schon ein Dienst. Heißt es macht keinen Unterschied, ob ich ein Forum, eine 1:1 Kommunikation oder einen Chat anbiete?
Genau. Solange du das öffentlich anbietest und jeder potenziell dran teilnehmen kann, hast du einen Dienst, der dem Telemediengesetz unterliegt. Hier stellt sich die Frage, ob der Dienst kommerziell oder nicht-kommerziell angeboten wird. Verstöße gegen das Telemediengesetz können rein praktisch nur von Mitbewerbern oder Verbraucherorganisationen, wie dem VZBV, sanktioniert werden.
Man sollte immer davon ausgehen, sobald man ein Angebot ins Internet stellt und dieses Angebot der Kommunikation, also der Bereitstellung von Inhalten dient, ist es immer ein Telemedium. Egal, ob es sich um eine Facebook-Seite, einen Chat oder eine sonstige 1:1 Kommunikation handelt. Das alles ist als Telemedium anzusehen. Wenn es kein Telemedium wäre, dann fällt es unter das Telekommunikationsgesetz.
Notice & Take Down
- Kannst Du uns kurz „Notice & Take Down“ erklären?
„Notice und Take Down“ baut auf einem Haftungsprivileg auf, das im Telemediengesetz, konkret in § 8 – 10, steht. Wenn nutzergenierte Inhalte auf meiner Plattform hochgeladen werden, muss ich vorher nicht überprüfen, ob diese rechtlich zulässig sind.
Die Regelung wurde in den 90er-Jahren geschaffen. Man sah, dass das Internet im Keim erstickt wird, wenn die Plattformbetreiber alle Inhalte prüfen müssen.
Es wurde festgelegt, dass wenn
- die Inhalte von den Nutzern hochgeladen werden und
- lediglich eine Plattform bereitgestellt wird und
- die Inhalte nicht händisch/redaktionell überprüft werden und
- wenn die Plattform sich nicht die Rechte an den Inhalten einräumen lässt,
diese Inhalte dem Haftungsprivileg unterliegen.
Das bedeutet, wenn ein Bild von mir hochgeladen wird, das urheberrechtlich geschützt ist, dann kann ich den Plattformbetreiber nicht direkt abmahnen. Ich muss ihn vorher darauf hinweisen „da ist etwas von mir, das rechtlich geschützt ist. Bitte entferne es“. Innerhalb einer angemessenen Frist. Das sind meist so vier bis fünf Tage. Es sei denn, es geht um Beleidigungen oder Ähnliches, dann kann ich auch verlangen, dass der Inhalt unverzüglich entfernt wird. Wenn der Inhalt innerhalb der Frist nicht entfernt wird, erst dann kann ich denjenigen abmahnen.
Oder anders gesagt. Wenn jemand auf seiner eigenen Website etwas hochlädt, das meine Rechte verletzt, kann ich denjenigen sofort abnahmen.
Wenn auf einer Plattform etwas hochgeladen wird, kann ich den Nutzer sofort abmahnen. Aber da ich den meistens nicht kenne, möchte ich gegen den Plattformbetreiber vorgehen. Das ist effektiver. Den Plattformbetreiber kann ich nicht direkt abmahnen. Dem muss ich vorher zuerst einen Hinweis (eine Notice) geben. Wenn er diesen Hinweis nicht unverzüglich umsetzt, erst dann kann ich ihn abmahnen (einen Take down beantragen) oder vor Gericht ziehen. Die Frist richtet sich danach, wie schwerwiegend der Verstoß ist. Beim Persönlichkeitsrecht möglichst schnell, beim Urheberrecht hat man drei bis vier Tage Zeit.
Im Gesetz werden diese nutzergenerierten Inhalte als „fremde Inhalte“ bezeichnet. Was fremd ist, steht nicht im Gesetz. Das haben Gerichte ausgelegt. Diese haben gesagt, wenn man Inhalte händisch freigibt, dann sind sie nicht fremd. Wenn die Nutzer etwas hochladen und es automatisch online geht, dann unterliegt es dem Haftungsprivileg.
Artikel 17
- Wie wird sich das Haftungsprivileg mit Artikel 17 (ehemals Artikel 13) ändern?
Für manche Plattformen wird sich etwas ändern. Artikel 17 sieht vor, dass wenn Inhalte hochgeladen werden und die Urheberrechtsinhaber diese Inhalte bei den Plattformen angemeldet haben, dass der Plattformbetreiber anhand der gemeldeten Inhalte prüfen muss, ob diese zu den hochgeladenen passen. Dann muss der Plattformbetreiber entweder diese Inhalte löschen oder sich darum bemühen eine Lizenz für diese Inhalte zu erhalten. Das funktioniert in der Praxis eigentlich nur dann, wenn man vorher mit Verwertungsgesellschaften oder großen Anbietern wie Paramount Universal, Sony und Co. Lizenzverträge abgeschlossen hat.
YouTube wird nicht im Einzelfall sagen, „oh wir haben das Musikstück, wir wissen nicht, wem es gehört, wir werden uns bemühen dafür eine Lizenz zu bekommen“. So kann man sich das nicht vorstellen.
Bei YouTube existiert mit der Content-ID bereits ein solches System. Es stellt sich dabei die Frage, wie man das Ganze praktisch umsetzt. Es hieß ja, Uploadfilter sind nicht notwendig. Aber wie soll das anders funktionieren? Wie soll man digital mitgeteilte Inhalte, mit hochgeladenen Inhalten abgleichen, wenn man nicht gerade zigtausende Menschen einstellt, die das sichten? Selbst die würden wohl nicht reichen.
In Deutschland war es ja die CDU, die dafür gestimmt hat, dass diese Regelung in der EU zustande kommt und dann hinterher sagt, aber wir sind ja komplett gegen Uploadfilter. Das klingt ein bisschen wie ein Smoke Screen. Man weiß hinterher nicht, war das Absicht oder wollten die Leute nicht nachgeben. Die haben gesagt, wir machen das anders in Deutschland. Wir verzichten auf Uploadfilter. Wir erheben quasi Kopierabgaben. Das Problem ist, Deutschland kann nicht mehr ändern, was die EU beschließt. Die können nicht einfach sagen, wir beachten die Regelung nicht und gehen jetzt komplett einen Sonderweg. Das ist nicht möglich. Letztendlich läuft es auf Uploadfilter hinaus.
Die interessante Frage ist tatsächlich, wen wird es am Ende betreffen? Betroffen sind Plattformen, die in größerem Umfang Inhalte, die von Nutzern hochgeladen werden, zugänglich machen, organisieren, bewerben und damit Geld verdienen. Die Regelung ist auf YouTube zugeschnitten. Es geht nicht um ein Online-Forum, das der Kommunikation dient. Es geht nicht um Wikipedia. Für Wikipedia gibt es zudem ja Ausnahmen.
Aber wir wissen noch nicht genau, welche Plattformen unter die Regelung fallen. Wir wissen noch nicht genau, was heißt „große Mengen“, die hochgeladen werden. Was sind große Mengen an Inhalten, die hochgeladen, inhaltlich organisiert, beworben und damit Geld verdient wird? Sind damit wirklich Foren gemeint, in denen Texte eingestellt werden und ab und an Bilder? Ich würde das ausschließen. Es sei denn, es ist ein Forum, in dem typischerweise viele Bilder hochgeladen werden. Wie zum Beispiel ein Kochforum. Ein solches Forum könnte unter die neue Regelung fallen. Das Problem an dieser Regelung ist, dass sie nicht so griffig ist. Man weiß nicht genau, wen es letztendlich betreffen wird. Auf jeden Fall Content-Plattformen. Facebook auf jeden Fall, die haben eine eigene Videofunktion. Twitter auch. Aber wie ist es zum Beispiel mit Xing? Gibt es dort Videofunktionen, die extra beworben werden und damit Geld verdient wird?
Wenn man sagt, egal welche Inhalte und auf einer Plattform befinden sich 99.9 % Textinhalte und dazwischen ein Video. Dann ist das Video auch betroffen. Denn große Mengen an Inhalten bedeutet auch Text.
Man kann hier in jede beliebige Richtung argumentieren. Es gibt eine Übergangsregelung für Dienstleister die
- nicht älter als drei Jahre sind und
- weniger als 10 Millionen Euro Jahresumsatz machen und
- deren Plattform weniger als 5 Millionen monatliche Besucher im Monat hat.
Alle drei Punkte müssen gemeinsam erfüllt sein. Diese Plattformen sollen unter die Ausnahmeregelung fallen. Nachzulesen ist das Ganze im Erwägungsgrund 66. Hierbei handelt es sich aber nur um eine Übergangsregelung für drei Jahre und nicht um die Standardregelung. Das ist ein Indiz, dafür, dass damit größere Unternehmen gemeint sind. Das heißt, aber nicht, dass die Schwelle nicht tiefer sinken könnte.
Ich weiß auch nicht, warum die nicht abgewartet haben. Bald verhandelt der EUGH gegen YouTube. Die Plattform hat sich auf das Haftungsprivileg berufen. Das Haftungsprivileg setzt auch voraus, dass man nicht von den Inhalten lebt, also nicht wirtschaftlich von diesen partizipiert.
Es gab mal eine Plattform, auf der konnten Nutzer Bilder hochladen und jeder konnte per Klick aus diesen Bildern einen Druck erstellen. Die Richter haben damals geurteilt, dass die Plattform sich die Rechte einräumen lasse, die Bilder weiterzuverkaufen und dass sich die Plattform daher nicht auf das Haftungsprivileg berufen kann. Denn das würde bedeuten, dass man sich die Rosinen – den wirtschaftlichen Vorteil – herauspickt. Den Nachteil aber – die rechtliche Haftung – ausschließlich beim Nutzer lässt. Das geht nicht. Wenn dann muss beides gegeben sein: der wirtschaftliche Vorteil und die Haftung. Schauen wir uns nun mal YouTube an und lassen diesen Grundsatz wegfallen. Sagt man dann, dass die Inhalte für YouTube neutral sind und dass YouTube nur von der Plattform lebt? Oder würde man eher sagen, dass YouTube diese Inhalte aufbereitet, kategorisiert, sortiert, dazwischen Werbung schaltet und wie ein Fernsehsender letztendlich so seine Inhalte bekommt? Ich gehe davon aus, dass der EUGH entscheiden wird, dass YouTube dafür haftet. YouTube geht potenziell selbst davon aus. Das sieht man daran, dass sie das Content-ID-Modell entwickelt haben. Damit würde das Gesetz um Artikel 17 obsolet werden. Aber warum auf das Gericht warten, wenn man seine Kanonen schon bereitstehen hat und damit alle Spatzen wegwischen kann? Man kann nicht so richtig verstehen, warum sie nicht abgewartet haben. Es sei denn, es geht denen nur um das Wirtschaftliche.
Kann ich mich als Betreiber einer Community-Plattform schützen? Indem ich mir von den Nutzern vorab zusichern lasse, dass sie im Besitz der Urheber- und Bildrechte sind?
Nein. Es gibt keinen guten Glauben im Urheberrecht. Im Urheberrecht kommt es überhaupt nicht darauf an, was der Nutzer dir sagt.
Aber man kann die Haftung mindern. Es ist immer sinnvoll, die Nutzer vor dem Hochladen der Inhalte, darauf hinzuweisen, dass sie damit bestätigen, dass sie die Rechte an diesen Inhalten haben. Manche sagen „mach noch eine extra Checkbox dazu“. Das ist aber nicht notwendig. Es geht nur darum, ob die Nutzer vorab unterrichtet wurden.
Wenn dir die Nutzer aber sagen „ja, ich habe die Rechte“ und sie diese nicht haben, macht es de facto keinen Unterschied.
Wenn der Nutzer dir sagt: „Hier hast du dieses Video. Du kannst alles nutzen, ich gebe dir alle Rechte daran“ und derjenige lügt, dann hast du Pech.
Dann hast du nur die Möglichkeit, dich an den Nutzer zu wenden. Du kannst sagen: „Du hast mir doch gesagt, du hast die Rechte daran, du hast gelogen“. Daraus hat der Plattformbetreiber dann einen Anspruch. Man kann nicht sagen, der Plattformbetreiber hätte gar nicht darauf vertrauen dürfen. Der Nutzer hat die Rechte ja vorher zugesichert. Auf diese Weise könnte man gegen die Nutzer vorgehen. Auch zum Beispiel in Fällen, bei denen es um Schadensersatzforderungen und persönliche Haftung geht. Wenn man sagt, ich habe die Nutzer extra darauf hingewiesen, dann ist das eigene Haftungsrisiko geringer. Das schließt aber nicht aus, dass ich nicht in Anspruch genommen werden kann.
Ein solcher Hinweis kann die Haftung mindern. Er ist aber kein Schutzschild, dass den Plattformbetreiber vor Abmahnungen schützt. Genauso wird das jetzt auch mit der Urheberrechtsreform und Artikel 17.
Aber ich könnte die Sache ja theoretisch an meine Nutzer weitgeben und sagen, „du bist schuld“.
Grundsätzlich ja. In fast allen AGB einer Plattform sollten Haftungs- bzw. Freistellungsregelungen stehen. Wenn die Nutzer Inhalte hochladen, die rechtswidrig sind und die Plattform deswegen belangt wird, müssen die Nutzer der Plattform den Schaden ersetzen. Es kommt in der Praxis aber eher selten vor, dass die Plattformen die Nutzer dann auch belangen. Keiner meiner Mandanten ist bisher gegen Nutzer wegen so etwas vorgegangen. Aber auch weil meistens über „notice und take down“ zuerst auf den Sachverhalt hingewiesen wurde. Statt direkt abzumahnen. Aber potenziell wäre das möglich, ja.
Löschungen von Daten:
- Welche Daten muss ich als Plattformbetreiber löschen? Gerade auch, wenn ich einen User banne / lösche. Oder dieser von sich aus geht. Welche Daten muss ich behalten? Zum Beispiel die Bestellhistorie im E-Commerce?
Es steht nicht im Gesetz, was gelöscht werden muss. Im Gesetz steht, dass man die Daten löschen muss, wenn man keine Berechtigung hat, diese zu speichern.
Relevant ist immer die Frage, wozu das Unternehmen die Daten braucht. Hier muss man hinterfragen, warum man diese Daten nicht direkt löschen kann.
Ein Punkt ist, man braucht Daten, wenn jemand Rechtsansprüche stellt. Nehmen wir als Beispiel einen Online-Shop. Jemand kauft ein Produkt. Dieses hat 2 Jahre Gewährleistungsfrist und es gilt eine 3 Jahresfrist, um Rechtsansprüche geltend zu machen.
Nehmen wir an, ich liefere das Produkt und lösche die Daten nach einem Jahr. Wenn der Kunde dann 2,5 Jahre später kommt und sagt, ihr habt mir die Waren nie zugeschickt, können wir dies nicht mehr nachweisen, da alle Daten gelöscht wurden. In einem solchen Fall hat man natürlich Interesse daran, dass solche Daten länger gespeichert werden.
Die Regelfrist, um Rechtsansprüche geltend machen zu können, beträgt drei Jahre. Solange darf man die Daten auf jeden Fall speichern. Die Frist beginnt immer zum Ende des Jahres, in dem der Vorgang stattgefunden hat. Heißt nach vier Jahren muss man die Daten löschen. Wenn der Kunde am 1. Januar etwas kauft, dann beginnt die Frist erst am 31.12 diesen Jahres zu laufen. Man hat dann 3 Jahre 365 Tage.
In Online-Foren oder -Communitys, in denen keine entgeltlichen Austauschvorgänge stattfinden, muss man nicht damit rechnen, dass Rechtsansprüche kommen. Dort müssen die Daten gelöscht werden, wenn sich der Nutzer abmeldet. Auch hier stellt sich die Frage: „Wofür braucht man die Daten?“.
Ein Fall könnte sein, wenn der Plattformbetreiber jemanden gesperrt hat und ein Hausverbot erteilt wurde. Der Plattformbetreiber will nicht, dass sich die Person wieder mit der Mailadresse anmelden kann. Andere Daten liegen dem Plattformbetreiber in der Regel nicht vor. In einem solchen Fall darf man die Mailadresse behalten, für einen Zeitraum, während dem man davon ausgehen kann, dass sich der Nutzer gegebenenfalls wieder damit anmelden könnte. Für diesen Zeitraum gibt es keine Regeln. Hier kann man alles verargumentieren. Manche sagen, ich darf die Daten solange behalten, wie ich mein Forum betreibe. Wenn der andere denkt, es gibt keinen Grund, dann soll er mir das darlegen. Andere sagen 10 Jahre, wiederum andere 5 Jahre.
Man sollte hier überlegen, wie hoch die Wahrscheinlichkeit ist, dass sich noch mal jemand mit der Mailadresse anmeldet und gegen das Hausverbot verstößt. Nach 5 Jahren werden solche Sachen weniger relevant. Wenn es sich um einen schweren Verstoß, wie zum Beispiel Pädophilie handelt, dann kann man diese Personen auch dauerhaft sperren. Bei Beleidigungen, in der Hitze des Gefechts, sieht es anders aus. Diese Mailadresse kann man nicht lebenslang behalten, sondern maximal 5 Jahre. 5 Jahre sind eine hinreichend sichere Grenze.
Wichtig ist, dass man das Vorgehen begründen kann. Es liegt ein Unterschied darin, ob man pauschal alle für 10 Jahre sperrt oder ob man das Vorgehen protokolliert. Man muss den Datenschutzbehörden vorlegen: Wir hatten dieses Problem. Wir haben uns die Frage gestellt, wie lange darf man die Daten nach dem Rausschmiss einer Person speichern. Wir wissen dem Gesetz nach, ist es so lange, wie es erforderlich ist. Wann ist es erforderlich? Wenn wir einen Grund vorbringen können, der das rechtfertigt. Der Grund ist, derjenige hat ein Hausverbot bekommen. Er soll sich nicht wieder anmelden. Wir gehen davon aus, dass die Wahrscheinlichkeit, einer Wiederanmeldung innerhalb von 5 Jahren vorkommen könnte. Das ist allgemeine und branchenübliche Vorgehensweise und unserer Einschätzung nach gegeben. Deswegen sperren wir denjenigen für 5 Jahre.
In einem solchen Fall ist das Vorgehen okay. Wenn man nichts nachweisen kann, dann ist es problematisch, weil man den Rechenschaftspflichten nicht nachgekommen ist. Die Behörden argumentieren dann, wie wollen sie mit Erforderlichkeit argumentieren, wenn sie sich noch nicht mal Gedanken über Erforderlichkeit gemacht haben. Im Datenschutz ist es immer wichtig, dass man etwas schriftlich begründen kann. Dann reden die Datenschutzbehörden mit dir. Wenn du nichts vorweisen kannst, hast du potenziell schon einen Verstoß begangen.
Der Grundsatz ist: Findet ein entgeltlicher Austausch statt, sollten die Daten nach vier Jahren gelöscht werden. Also Benutzerprofile. Findet kein entgeltlicher Austausch statt, sollten die Daten sofort gelöscht werden. Es sei denn, es liegen besondere Gründe vor. Diese muss man dann belegen.
Bei einem Hausverbot würde ich sagen, so nach 5 Jahren sollte man die Datensätze entfernen. Man kann das auch komplizierter machen. Zum Beispiel durch ein System, wenn die Person sich versucht, mit der Mailadresse noch mal anzumelden, dann sagt man, dass die 5 Jahre nach dem letzten Anmeldeversuch starten. Aber wir wollen es nicht komplizierter machen als nötig.
Neben diesen Fristen kommen Archivierungspflichten hinzu. Rechnungen muss man steuer- und handelsrechtlich bis zu 10 Jahre speichern. Auch hier beginnen die Fristen jeweils am Ende des Jahres. De facto nach 11 Jahren sollte man die Inhalte löschen. Dann gibt es noch einfache Geschäftsbriefe, wie zum Beispiel bei vertraglichen Verhandlungen, da gilt eine Frist von 6 Jahren. Das passiert in dem Bereich aber seltener.
Dies bedeutet aber nicht, dass man das Nutzerprofil so lange aufbewahren darf. In einem aktuellen Verfahren sagt ein Mandat „aufgrund steuerrechtlicher Gründe habe ich alle Daten behalten“. So etwas ist natürlich schwierig. Das Finanzamt benötigt nicht die Nutzerprofile. Das Finanzamt braucht nur den Nachweis über den Geschäftsabschluss und die Rechnungen. Mehr wollen die nicht. Für die anderen Daten hat der Plattformbetreiber keine Berechtigung. Die Löschfristen sind ein sehr kompliziertes Feld.
Wichtig ist, man solle immer aufschreiben, warum man die Daten aufbewahrt. Wenn man dies nicht begründen kann, sollte man die Daten löschen. Sobald der Zeitpunkt erreicht ist, ab dem man es nicht mehr begründen kann, sollte man die Daten löschen.
Zu Eigenmachung bei moderierten Nutzerbeiträgen
- Wenn offen kommuniziert wird, dass Beiträge vor Veröffentlichung moderiert oder freigegeben werden, macht der Plattformbetreiber sich diese dann zu eigen und wird dafür verantwortlich?
Du machst sie dir zu eigen, wenn du die Beiträge tatsächlich freigibst. Nicht wenn du es nur kommunizierst. Aber wenn du es kommunizierst, darf man davon ausgehen, dass Du es tatsächlich machst. Du müsstest dann nachweisen, dass du sie tatsächlich nicht freigibst.
Wie verhält es sich, wenn ich es nicht kommuniziere aber mache?
Dann muss man dir nachweisen, dass du es tust.
Aber dann wäre ich rechtlich belangbar?
Ja.
Es gibt Firmen, die schreiben, dass die Uploads automatisch ausgewertet werden. Aufgrund von Serverbelastung und technischen Vorgängen, kann das einen gewissen Zeitraum dauern, bis sie automatisch hochgeladen werden.
Hier kommt es dann natürlich darauf an, wie lange es dauert, bis die Bilder wirklich sichtbar sind. Wenn die Bilder hochgeladen werden und dann schnell freigeschaltet werden, dann fällt das gar nicht so auf.
Ich betrachte das immer aus der Sicht des gegnerischen Anwalts. Ein sogenannter Advocatus Diaboli. Wenn ein Mandant kommt und sagt “das könnte problematisch werden, wir möchten die freigeben“, dann weise ich auf das Haftungsprivileg hin. Das heißt, umgekehrt nicht, dass rechtswidrige Inhalte hochgeladen werden.
Wenn ich als Anwalt auf der anderen Seite den Hinweis sehe und die Plattform abmahnen möchte, weise ich meinen Mandanten darauf hin. „Hier steht der Hinweis, wenn das wirklich so stattfindet und wir sofort eine Abmahnung schicken, dann bleibt ihr sehr wahrscheinlich auf den Kosten sitzen. Es sei denn, wir können nachweisen, dass es nicht so ist. Dafür müssen wir ein paar Testläufe durchführen, diese müsste ich berechnen zu einem Stundensatz von x.“ Dann nehmen viele Abstand.
Bei Recht handelt es sich oft um eine Kostenfrage. Wenn es sich nicht lohnt, dann geht man es auch nicht an oder wenn das Risiko zu hoch ist.
Es gibt Portale, die händisch Inhalte, gerade Bilder freischalten, da rechtsradikale und pornografische Beiträge hochgeladen werden. Vor solchen Inhalten müssen sich die Portale ja schützen. Auch wenn man dann dadurch das Risiko eingeht, plötzlich haftbar zu sein.
Wenn die Plattformen risikogeneigt sind oder solche Fälle häufiger vorgekommen sind, dann entfällt das Haftungsprivileg.
Hierbei gibt es drei Ausnahmen:
- die redaktionelle Freigabe
- die wirtschaftliche Zueigenmachung
- und wenn ich damit rechnen muss, dass rechtswidrige Inhalte hochgeladen werden.
In diesen drei Ausnahmefällen kommt das Haftungsprivileg nicht zum Tragen, die Plattformbetreiber können dann zur Rechenschaft gezogen werden.
Schauen wir uns die dritte Ausnahme etwas näher an.
Veröffentlicht ein Plattformbetreiber einen Beitrag und als Reaktion kommen viele rechtswidrige Kommentare, die der Betreiber löscht, dann muss er davon ausgehen, dass so etwas öfters vorkommt. Der Betreiber muss dann auf manuelle Freigabe umstellen. Denn in einem solchen Fall gilt das Haftungsprivileg nicht mehr. Es heißt dann, du hättest es erahnen müssen, dass so etwas passiert.
Oder wenn ein Thema sehr hitzig diskutiert wird und man davon ausgehen muss, dass zu dem Thema viele rechtlich problematische Beiträge kommen, dann muss ich als Plattformbetreiber nachweisen, dass ich mich darum gekümmert habe. Dass jemand die Kommentare freigeschaltet oder gelöscht hat.
Aus diesem Grund steht bei Online-Magazinen oft der Satz „normalweise haben wir hier eine Kommentarfunktion, aber diese haben wir abgestellt, da es zu problematischen Diskussionen führt“. Das bedeutet im Rechtlichen, wir haben nicht genug Leute, die die ganze Zeit dran sitzen können die Kommentare freizuschalten. Denn wenn Nazi-Parolen gepostet werden oder Personen beleidigt, dann kann der Plattformbetreiber dafür in Haftung genommen werden.
Wenn man als Plattformbetreiber damit rechnen muss, dass viele rechtswidrige Inhalte kommen, dann muss man die Kommentare freischalten. Das Haftungsprivileg ist dann nicht anwendbar.
Das Ganze ist ziemlich unfair. Setzt eine Plattform sich mit problematischen Themen auseinander, dann haftet sie dafür. Das Risiko steigt, je mehr man darüber berichtet. Wenn man bestimmte Unternehmen besonders kritisiert und man damit rechnen muss, dass Nutzer in den Kommentaren Beleidigungen oder unwahre Tatsachen gegen das Unternehmen äußern werden, dann muss der Betreiber sich hinsetzen und die Kommentare freischalten. Man sollte nicht das Risiko eingehen, dass einem vorgeworfen wird, man bediene ein Brandthema und sorge nicht dafür, die Kommentare zu moderieren. Gerade, wenn man damit hätte rechnen können, dass rechtswidrige Inhalte kommen. In einem solchen Fall ist es besser, die Kommentare freizuschalten, anstatt das Risiko einzugehen, dass man kein Haftungsprivileg hat.
Das ist auch der Grund, warum man Nutzer sofort sperren sollte. Oder die Beiträge von Nutzern, die einmal gegen die Regeln verstoßen haben, auf Freigabemodus stellen sollte. Aus Sicht des Nutzers ist das im Einzelfall, vielleicht nicht angemessen. Aber das Risiko ist sonst für den Plattformbetreiber zu hoch. Wenn der Nutzer noch mal etwas rechtswidrig postet, dann muss der Plattformbetreiber davon ausgehen, dass das Haftungsprivileg ebenfalls entfällt. Denn der Nutzer ist dann die Gefahrenquelle. Wenn die Nutzer Fehler begehen, sollte man deswegen direkt eingreifen. Aber natürlich muss man auch hier mit Fingerspitzengefühl arbeiten.
Es gibt auch Nutzer, die aus Versehen etwas rechtswidriges schreiben. Wenn zum Beispiel jemand in einem Corporate Blog oder Forum eine Mailadresse von jemandem anderem postet und damit dessen Daten veröffentlicht. In einem solchen Fall muss man den Nutzer nicht direkt sperren. Aber man sollte ihn darauf hinweisen, dass er das nicht noch mal tun soll. Wenn aber der Nutzer andere beleidigt, sollte der Betreiber zumindest eine ausdrückliche Verwarnung schreiben und sich bestätigen lassen, dass ein solches Verhalten nicht mehr vorkommt, da sonst der Account gesperrt wird.
Je höher die Gefahr für rechtswidrige Kommentare ist, desto mehr muss sich der Plattformbetreiber darum kümmern, was an Feedback reinkommt.
Wenn ich damit rechnen muss, dass rechtswidrige Inhalte hochgeladen werden, dann gibt es einen „schleichenden Sorgfaltsmaßstab“. Das ist ein netter Ausdruck von „wir sehen das jetzt so, möchten uns aber nicht auf feste Grenzen festlegen, weil dann könnte man uns viel einfacher kritisieren“.
Solche Fälle kommen durch Gerichte zustande. Die Gerichte müssen keine Grenzen festsetzen. Sie sagen nur, in diesem Fall wurde die Grenze überschritten. An welcher Stelle das erfolgt, ob man da jetzt einen Meter oder einen Kilometer drüber ist, das müssen die Gerichte nicht festlegen. Die Gerichte sagen nur, dass die Grenze überschritten wurde. Aber nicht um wie viel. So etwas nennt man dann den „schleichenden Sorgfaltsmaßstab“.
Die Technik entwickelt sich sehr schnell, es ist nicht möglich, alles en Detail zu regeln.
Die Gerichte haben nur die Möglichkeit, das Recht auszugestalten. Das geht auch nicht anders. Gerichte haben immer mehr die Funktion, die eigentlich der Gesetzgeber haben müsste: Klare Regeln vorzugeben, in dem sie das Recht ausgestalten.
Das birgt die Gefahr, dass vieles oft unklar bleibt. Die Gerichte müssen halt kein Gesetz machen. Der Gesetzgeber erlässt Gesetze, die möglichst für alles nachvollziehbar und für alle anwendbar sind. Gericht entscheiden aber nur für den Einzelfall. Wenn man Glück hat, lässt sich der Maßstab für alle ableiten. Wenn man Pech hat, hat man einen „schleichenden Sorgfaltsmaßstab“.
Hausrecht
- Reden wir über die Themen Löschung eines Kommentars, Nutzer bannen, sperren, löschen. Wo greift das Hausrecht, was ist Meinungsfreiheit? Wann kann ich sagen, mir gefällt deine Nase nicht, ich möchte dich nicht auf meiner Plattform haben und was unterliegt der Meinungsfreiheit?
Wenn ich eine Plattform zur öffentlichen Diskussion eröffne, dann kann ich nicht wahllos Menschen rauswerfen. In diesem Bereich gibt es auch verschiedene Urteile.
Ich kann Meinungen nur dann löschen oder Nutzer entfernen wenn:
- diese gegen das Gesetz verstoßen oder
- sie mir den Betrieb meiner Plattform unmöglich machen.
Schauen wir mal nach dem Klassiker: Shitstorms. Ich hab Nutzer, die meine Seite mit Kritik überhäufen. Auf meiner Facebook-Seite entwickelt sich ein Shitstorm und zu allem, was ich poste, kommen sofort kritische Kommentare. In einem solchen Fall kann ich nicht mehr normal mit meinen andern Nutzern kommunizieren. Dann darf ich sagen, hier habt ihr ein Posting, dort könnt ihr die Kommentare posten. Wir unterhalten uns unter diesem Posting. Das ist dann kein Meinungsverbot. Kanalisieren darf ich.
Das Posting könnte lauten: „Liebe Leute wir nehmen eure Kritik zur Kenntnis. Wir möchten eure Kritik auch nicht untersagen, aber ihr macht es uns unmöglich, mit unseren Nutzern oder Kunden zu kommunizieren. Deswegen werden wir ab morgen oder übermorgen alle Kommentare löschen, die nicht in diesem Thread erscheinen.“ In einem Forum kann man dann zum Beispiel so einen Beitrag oben anpinnen.
Es handelt sich hierbei um eine Sondersituation. Wenn keine Sondersituation oder kein gesetzlicher Verstoß vorliegen, dann muss man als Betreiber vorher Regeln aufstellen. Das ist durchaus erlaubt. Wer keine Regeln aufstellt, der erlaubt den Leuten letztendlich zu posten, was sie wollen.
Als Regel kann man zum Beispiel sagen hier dürfen nur gutlaunige Beiträge gepostet werden. Wir dulden keine Kritik an Menschen. Wir dulden keine politischen oder religiösen Diskussionen, keine Diskussionen über unsere Konkurrenz. Es ist eine Blümchen-Community.
Aber man darf nicht unsachgemäß ausgrenzen. Der Betreiber darf nicht sagen, wir dulden nur die Meinung von weißen Männern. Die Regelung muss sachlich gerechtfertigt sein.
Man darf ein Schwangerschaftsforum nur für Frauen eröffnen und begründen, dass man keine Männer möchte, weil Frauen sonst nicht frei sprechen können. Wenn Männer im Forum sind, die die Situation nicht nachvollziehen können und dann vielleicht nur trollen. Foren nur für spezielle Gruppen sind möglich, aber man muss diese Regeln vorher aufstellen. Man kann nicht hinterher wahllos sagen, aber ich dachte, es sei so und so.
Wenn man ein Forum für die Öffentlichkeit bietet und vorher keine Regeln aufstellt, darf man die Nutzer nicht wahllos ausschließen. In der Praxis ist es grundsätzlich so, dass man in seiner Community tun und lassen kann, was man will. Regeln machen es auch den Moderatoren einfacher, die dann auf diese Regeln verweisen können.
Die Regeln, die Du eben angesprochen hast, in denen man solche Sachen festlegt. Muss das eine AGB sein oder darf das auch in der Netiquette festgehalten werden?
Eine Netiquette ist eine AGB. AGB sind gesetzlich alle Regeln, die für eine Vielzahl von Fällen vorformuliert sind. Richtlinien, Netiquette, Verhaltensregeln, Wohlbefindlichkeitsregeln, alles sind AGB. Dafür muss nicht AGB drüber stehen. Es braucht auch nicht unbedingt einen Titel.
Damit sie gelten müssen sie vor Vertragsschluss mitgeteilt werden. Heißt, der Hinweis auf die AGB muss schon bei der Registrierung ersichtlich sein. Dazu ist keine Checkbox notwendig. Es ist ausreichend, dass unmittelbar neben dem Registrierbutton oder neben den Eintragsfeldern steht „Es gelten unsere AGB / unsere Verhaltensrichtlinien und unsere Datenschutzerklärung“.
Was man nicht machen sollte, ist eine Checkbox mit dem Text „Ich erkläre mich mit den Datenschutzrichtlinien einverstanden“. Denn Datenschutzrichtlinien sind keine AGB, sondern nur Hinweise. Wenn man die Datenschutzrichtlinie zur AGB erklärt, könnte man bei Änderungen Probleme bekommen. Da Datenschutzrichtlinien bloß Hinweise sind, kann man diese jederzeit ändern. AGB hingegen darf man nicht einfach so jederzeit ändern. Besser ist daher der Satz „Es gelten unsere Datenschutzhinweise“ oder „Wir verweisen auf unsere Datenschutzerklärung“.
Man liest häufig „Ich erkläre mich mit den AGB und den Datenschutzhinweisen einverstanden“. Besser ist aber „Ich erkläre mich mit den AGB einverstanden und habe die Datenschutzrichtlinie zur Kenntnis genommen“. (Eine AGB benötigt hierbei kein Kontrollkästchen. Mehr Infos dazu: „Muss AGB mittels eines Kontrollkästchens zugestimmt werden„)
Kontaktaufnahme zu Nutzern
- Unter welchen Umständen darf ich meine Mitglieder kontaktieren, wenn diese keinen Newsletter abonniert haben? Zum Beispiel, wenn es neue Funktionen in der Community gibt. Was muss ich dabei beachten, zum Beispiel, dass keine Werbung in der Mail eingefügt ist?
Auch hier gilt, du darfst die Nutzer über das informieren, womit sie letztendlich rechnen können.
Wenn ich mich auf einer Plattform anmelden, muss ich dann damit rechnen, dass ich Werbung bekomme? Nein.
Muss ich damit rechnen, dass ich Hinweise zu technischen oder organisatorischen Vorgängen bekomme, die mich betreffen? Ja.
Von Vorteil ist natürlich auch diese Regelung mit in die AGB aufzunehmen oder andere Regularien, die entsprechend gelten.
Ich empfehle in einem solchen Fall immer einen Hinweis aufzunehmen. Sinngemäß könnte dieser lauten: „Wir versenden an unsere Mitglieder Informationen, wenn es neue technische Funktionen gibt oder organisatorische Vorgänge, die für unsere Mitglieder von Interesse sein könnten.“ Man kann auch schreiben, dass Mitglieder über neue Nachrichten zu deren Beiträgen automatisch informiert werden. Die Nutzer sollten aber die Möglichkeit haben, diese Funktion abzustellen. Heutzutage ist das aber, glaube ich eh überall Standard.
So lange ich der Nachricht keine Werbung beimische, gibt es keine Probleme.
Macht es einen Unterschied, ob die Funktionen kostenpflichtig sind?
Sobald die neuen Funktionen kostenpflichtig sind, handelt es sich um Werbung. Dann sind es Funktionen, für die geworben wird. Daher ist es sinnvoll zu Beginn das Einverständnis für Werbung mit einzuholen. Dann gibt es solche Probleme nicht.
Bei kostenpflichtigen Funktionen ist ein Pop-up oder ein Hinweis beim nächsten Log-in auf der Plattform selbst zulässig. Es ist okay, auf der Website passiv eine Information zu den neuen kostenpflichtigen Funktionen einzublenden. Per E-Mail darüber zu benachrichtigen aber eher nicht.
Sind Benachrichtigungen (Notifications) als Mail erlaubt? Darf man diese Funktion als Opt-out anbieten? Da es ja communityrelevante und keine Marketinginfos sind, oder muss auch hier Opt-in gelten?
Für Benachrichtigungen, „Person xy hat auf deinen Kommentar geantwortet“, gilt das Gleiche. Es ist immer besser, wenn in den AGB oder Datenschutzrichtlinien steht, dass es solche Funktionen auf der Plattform gibt und durch diese automatisch Nachrichten versendet werden. Aber auch wenn es nicht drin steht, ist das etwas, was der Nutzer üblicherweise erwarten darf. Es geht dabei nicht um den Einzelfall, dass ein einzelner Nutzer sagt, das habe ich nicht gewusst. Sondern es geht um den typischen, objektiven Nutzer, der sich in solchen Foren bewegt, der sollte damit rechnen.
Ja, man darf so etwas auch als Opt-out-Lösung anbieten.
DSGVO
- Lieblingsthema DSGVO. Welche Daten dürfen erhoben werden? Wo ist Vorsicht geboten? Zum Beispiel bei der IP-Adresse, die ich am Ende anonymisieren muss?
Die Antwort ist die gleiche, wie beim Löschen. Welche Daten brauchst du? Welche Daten sind erforderlich, um deinen Dienst zu betreiben? Letztendlich schließt du mit den Nutzern ja einen Nutzungsvertrag. Du darfst alle Daten verarbeiten, die erforderlich sind, um diesen Vertrag zu erfüllen.
Es kommt darauf an, wie du das Ganze ausgestaltest. Wenn man vorher in den AGB regelt, dass Inhalte versendet werden oder der Nutzer über organisatorische und technische Punkte informiert wird, dann darfst du die E-Mail-Adresse für diese Zwecke nutzen.
Die Antwort hängt immer von den Daten ab. Nenn mir Daten und ich sage dir, ob es okay ist oder nicht.
Oft wird man ja nach dem Geburtsdatum gefragt und man denkt so, warum fragt ihr das, das braucht ihr gar nicht.
Das ist genau die Antwort. Dann kommt immer als Grund, wir möchten feststellen, ob die Person volljährig ist. Das kann man aber auch über eine Checkbox lösen: „Ja, ich bin volljährig“.
Was ist, wenn ich sage, ich möchte den Nutzern zum Geburtstag eine Karte schicken? Wäre das ein ausreichender Grund?
Ja, denn das ist dann eine Funktion des Vertrages. Ich gehen dann einen Vertrag über eine Plattform ein und mir wird gesagt, ein Teil dieses Vertrages ist es, dass ich Geburtstagsgrüße bekomme.
Kommen wir zur Problematik, wonach man überhaupt fragen darf. Man könnte ja auch sagen, geben sie bitte auch ihre sexuelle Orientierung ein, damit wir die Geburtstagskarte passend zuschneiden können. Solange das optional ist, lässt sich dieser Punkt durchaus halten. Wenn ich die Frage aber zu einer Verpflichtung mache, dann kommen die Datenschützer. Bestimmte Punkte können gar nicht so in den AGB geregelt werden.
Wenn man sagt, ihr müsst euer Geburtsdatum und eure Sexualität angeben, dann ist das ein Teil der AGB. Wenn die AGB aber dem Grundgedanken des Gesetzes widersprechen, dann sind sie unwirksam. Was bedeutet nun der Grundgedanke des Gesetzes? Es geht hier ja um die DSGVO und in der DSGVO heißt es „nur die Daten, die für den Vertrag erforderlich sind“. Laut dem europäischen Datenschutzausschuss muss der Betreiber am Kern des Vertrages bleiben. Wenn es sich um eine Plattform handelt, auf der sexuelle Kontakte ausgetauscht werden, darf ich nach Alter und der sexuellen Ausrichtung fragen.
Handelt es sich um eine allgemeine Community, würden die Datenschützer sagen okay wozu ist das erforderlich? Wenn man den Nutzern erklärt, wir möchten euer Geburtsdatum und das Geschlecht, wir brauchen das für diesen und diesen Zweck, zum Beispiel eine personalisierte Geburtstagskarte und die Option ist freiwillig, dann ist das kein Problem. Das kann man machen. Man muss es aber begründen.
Was spricht dagegen, zu sagen, ich möchte wissen, ob jemand Mann oder Frau ist, da ich die Inhalte entsprechend zuschneiden möchte? Wenn ich einen Newsletter versende und das Wording und die Themen extra auf Frauen zuschneiden möchte, dann hat das Unternehmen was davon und ich als Nutzer, habe etwas davon. Denn ich bekomme lieber Newsletter, die auf mich zugeschnitten sind. Ohne klischeehaft zu werden, nehmen wir als Beispiel mal Pflegeprodukte im E-Commerce. Was bringt es Frauen, bis auf einige Ausnahmefälle, Bartpflegehinweise zu erhalten? Die potenzielle Streuwirkung ist einfach zu groß. Frauen fragen sich dann „was soll ich mit Bartpflege“. In einem solchen Fall ist die Frage nach dem Geschlecht durchaus gerechtfertigt. Aber wenn ich einfach auf Halde sage, ich möchte Geschlecht, Geburtsdatum Telefonnummer, Adresse. Ich weiß noch nicht wofür, ich die Daten brauche, vielleicht für irgendetwas später. Eine solche Abfrage ist nicht zulässig. Da ich dann nicht begründen kann, wofür ich die Daten brauche.
Das oberste Prinzip ist immer, die Information muss erforderlich sein. Ich muss sie für einen bestimmten Zweck bauchen und das muss für den Nutzer von Anfang an erkennbar sein. Mit diesem Prinzip lassen sich sehr viele Fälle lösen.
Stichwort: Datenminimierung. Wenn ich ein bestimmtes Datum möchte, dann lautet die Frage: Für welchen Zweck möchtest du dieses Datum haben?
Ist das Datum für diesen Zweck erforderlich oder gibt es Möglichkeiten, diesen Zweck mit weniger oder gar keinen Daten zu erreichen?
Wenn ich zum Beispiel wissen möchte, ob meine Nutzer wirklich volljährig sind. Dazu braucht es kein Geburtsdatum, sondern es braucht nur die Bestätigung, dass die Nutzer volljährig sind.
Und wenn man sagt, man möchte den Nutzern zum Geburtstag gratulieren, welche Daten genau erhebt man dann? Den Tag? Braucht man. Den Monat? Braucht man. Braucht man aber das Jahr? Das braucht man nicht. Mit diesem Zweck ist man berechtigt, den Tag und den Monat zu erheben. Aber das Jahr braucht man nicht. Man muss in diesem Bereich wirklich solche kleinlichen Detail-Überlegungen anstellen.
Ich gebe meinen Mandanten immer eine Liste. Dort können sie ausfüllen, welche Daten sie brauchen. Zu welchem Zweck. Warum sie unbedingt dieses Datum brauchen und welche Alternativen zur Verfügung standen, die aber aus ihrer Sicht nicht in Frage kommen. Wenn man später mit Datenschutzbehörden verhandelt, lohnt es sich, vorher diese Spitzfindigkeiten durchgeführt zu haben.
Ehrenamtliche Moderatoren
- Wenn ich mit ehrenamtlichen Moderatoren arbeite, muss ich dann etwas beachten? Setze ich mit denen einen Auftragsdatenverarbeitungvertrag auf? Oder gibt es irgendwelche anderen Regelungen oder Verträge? Es gibt ja Unterschiede, es gibt Moderatoren, die nur Zugriff aufs öffentliche Forum haben und andere haben vielleicht auch Zugriff auf ein Administrationstool. Was muss ich beachten?
Das ist ein Problem im Datenschutz. Denn fürs Ehrenamt gibt es keine Ausnahmen. In manchen Bereichen sind sehr viele Menschen ehrenamtlich tätig und diese unterliegen den gleichen rechtlichen Pflichten, wie wenn man einen Freiberufler beauftragt.
Grundsätzlich muss man alle Personen, die Zugriff auf personenbezogene Daten haben, zur Einhaltung vom Datenschutz verpflichten. Bei uns ist das im Gegensatz zu Österreich nicht ausdrücklich geregelt. Ich würde eine solche Verpflichtung immer empfehlen. In der Verpflichtung steht nichts anderes drin, als das, was in der DGSVO selbst steht. Aber der Plattformbetreiber hat dann einen Nachweis, dass man die Person darauf hingewiesen hat. Dies gilt für deine angestellten Mitarbeiter. Die Frage ist, reicht eine solche Verpflichtung für die Ehrenamtler?
Bei Ehrenamtlern kommt es darauf an, ob zu den Kernaufgaben die Verarbeitung personenbezogener Daten gehört oder nicht. Wenn die Verarbeitung dazu gehört und sie diese nach der Weisung des Plattformbetreibers durchführen, dann muss mit diesen Personen einen Auftragsdatenverarbeitungsvertrag abgeschlossen werden.
Wie sieht es aber aus mit Ehrenamtlern in einem Forum? Verarbeiten die besondere personenbezogene Daten? Nehmen wir an, die Ehrenamtler sehen nicht mehr personenbezogene Daten, als ein normaler Nutzer. Sie haben die Möglichkeit Nutzer zu sperren oder einzuschränken. Aber sie haben keinen Zugriff aufs Backend und sehen keine IP- oder E-Mail-Adressen der Nutzer. In einem solchen Fall würde ich sagen, reicht der allgemeine Hinweis.
Aber wie es so schön ist im Recht, ich könnte auch andersrum argumentieren. Alleine dadurch, dass ich Meinungen von Menschen löschen kann und dadurch Einfluss drauf nehme, verarbeite ich auch schon personenbezogene Daten. Weil auch Inhalte sind personenbezogene Daten.
Personenbezogene Daten sind alle Angaben, mit deren Hilfe, ich Menschen identifizieren kann. Der Inhalt, den ich einer Person zuordnen kann, ist ein personenbezogenes Datum. Wenn ich dieses personenbezogene Datum lösche, dann nehme ich eine Verarbeitung vor und diese Verarbeitung gehört zu meinem Kernbereich der Tätigkeiten als ehrenamtlicher Moderator. Deswegen brauche ich einen Auftragsdatenverarbeitungsauftrag.
Das heißt, du hast von der selben Person gerade zwei komplett unterschiedliche Ansichten gehört. Ich weiß nicht, was richtig oder falsch ist. Wenn man den sicheren Weg gehen möchte, schließt man einen einfachen Auftragsdatenverarbeitungsvertrag ab. In diesem steht nichts weiter, als eine kurze Wiederholung des Gesetzes. Wenn man die Plattform kommerziell betreibt, kann man das an einen Anwalt oder Datenschutzbeauftragten geben. Das ist kein großer Akt. Der Vertrag wiederholt wirklich, nur was im Gesetz steht. Aber dann ist man auf der sicheren Seite.
Wenn man ein gewisses Risiko eingehen möchte, dann kann man nur eine allgemeine Datenschutzverpflichtung vornehmen. Ich gehe nicht davon aus, dass es ein Fall der Auftragsverarbeitung ist. Sollten sich in einem solchen Fall die Datenschutzbehörden melden, dann gehe ich davon, dass sie den Betreiber darauf hinweisen, „das reicht für uns nicht aus, aber sie haben sich ja bemüht“. Dann kann man die Verträge nachholen. Ich würde es in der Praxis als nicht so problematisch sehen, wenn man nur die Verpflichtung hat. Aber eines von beiden, die Verpflichtung oder den Vertrag, sollte man haben. Bis ein Gericht das nicht entschieden hat, gibt es dazu keine eindeutige Antwort. Eigentlich sogar solange der EUGH nichts dazu entschieden hat.
In Zweifelsfällen verlangen die Datenschutzbehörden auch nicht direkt Bußgelder. Diese werden verhängt, wenn kein Löschkonzept vorliegt. Wenn man ein Löschkonzept hat, aber davon abweicht, dann bekommt man einen Hinweis. Wenn man nichts hat, keine technischen Schutzmaßnahmen, dann kommt ein Bußgeld.
Wenn ein Ehrenamtler im Forum tätig ist, bekommt der Plattformbetreiber einen Hinweis und notfalls die Verpflichtung es anders umzusetzen. Ich kann dir in diesem Fall nicht sagen, was richtig oder falsch ist. Es kommt drauf an.