Internet-Law

Die Bundesregierung hat heute die Einführung der sog. Button-Lösung für Vertragsabschlüsse im Internet beschlossen und erhofft sich hiervon einen besseren Schutz der Verbraucher.

Warum sich diese Hoffnung voraussichtlich nicht erfüllen wird, habe ich bereits vor einiger Zeit erläutert. Dem Gesetzesentwurf des BMJ, den das Bundeskabinett jetzt beschlossen hat und der nun noch das Gesetzgebungsverfahren durchlaufen muss, ist ein Polit-Theater vorausgegangen, das ich als Lehrstück für die Mechanismen unserer Parteiendemokratie betrachte.

Erwähnenswert ist auch der Hinweis der Bundesregierung, dass damit eine geplante EU-Richtlinie quais vorab umgesetzt wird. In anderen Bereichen wird ansonsten eine sinnvolle und notwendige Gesetzgebung – zu der man die Button-Lösung nicht zählen kann – gerne mit dem Argument verzögert, dass man zunächst die europarechtliche Vorgabe abwarten möchte. Diesmal ist es erstaunlicherweise genau anders herum.

Das Landgericht Düsseldorf hat mit Urteil vom 10.08.2011 (Az.: 2a O 69/11) entschieden, dass eine zulässige, kritische Berichterstattung über ein Unternehmen auch dazu berechtigt, den Firmennamen im Meta-Tag als Title-Tag zu benutzen.

Das Landgericht weist zu Recht darauf hin, dass die Meinungsfreiheit auch das Recht des Äußernden beinhaltet, seinen Standpunkt möglichst wirkungsvoll zu vertreten. Eine ansonsten nicht unlautere Verwendung eines Kennzeichens wird nach Ansicht des Gerichts auch nicht dadurch unlauter,dass sich der vermeintliche Verletzer gerade den Aufmerksamkeitswert des Kennzeichens zunutze macht. Der Kollege Stefan Richter berichtet ergänzend über die Hintergründe des Verfahrens.

Die Entscheidung des Landgerichts Düsseldorf liegt auf derselben Linie wie ein Urteil des Landgerichts München I, das ich unlängst erstritten habe. Beim OLG München ist dieses Verfahren und ein weiteres – in dem ähnlich wie in Düsseldorf ein Unternehmen das Branchenverzeichnisse herausgibt, die Unterlassung der Nennung ihres Firmennamens und des Namens des Geschäftsführers verlangt – derzeit in der Berufungsinstanz anhängig. In allen diesen Fällen wird spezifisch versucht, gegen die Nennung des Namens/Kennzeichens im Meta-Tag vorzugehen, während die eigentliche kritische Berichterstattung auf der Website, nicht angegriffen wird.

Es geht den Unternehmen ersichtlich also nur darum, eine ihnen unliebsame kritische Berichterstattung und Meinungsäußerung zu unterbinden. Als Mittel hierfür wird das Kennzeichen- und Markenrecht missbraucht.

Das Ansinnen der klagenden Unternehmen ist u.a. auf eine Fehlinterpretation der Entscheidung „Impuls“ des BGH  zurückzuführen. Der BGH geht in dieser Entscheidung davon aus, dass die Verwendung eines fremden Kennzeichens als verstecktes Suchwort eine kennzeichenmäßige Benutzung darstellt. Über die offene Nennung im sichtbaren Teil und zugleich im Meta-Tag, hat der BGH nicht entschieden. Er hat aber ausdrücklich klargestellt, dass es auch kennzeichenrechtlich zulässige Formen der Benutzung als Meta-Tag geben kann, z. B. im Rahmen der vergleichenden Werbung. Nachdem es in den hier diskutierten Fällen nicht um eine versteckte Verwendung nur im Meta-Tag geht, ist die BGH-Entscheidung nicht einschlägig. Wer sich kritisch mit einem bestimmten Unternehmen auseinandersetzt, muss zwangsläufig auch dessen Namen nennen.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat vor einigen Tagen alle Webseitenbetreiber in Schleswig-Holstein aufgefordert, den „Gefällt mir“-Button von ihren Webseiten zu entfernen und zudem Fanpages bei Facebook zu löschen.

Weil diese Aufforderung nicht nur im Netz hohe Wellen geschlagen hat, sondern auch beim ULD zu mit Sicherheit erbosten Rückfragen geführt hat, sieht sich die Datenschutzbehörde offenbar veranlasst, verschiedene Fragen zu beantworten.

Einige Kollegen sind der Ansicht, dass das ULD damit auch teilweise zurückrudern würde, nachdem man zunächst sogar die Ansicht vertreten hatte, dass die Datenverarbeitung bei Facebook nicht durch eine nach deutschem bzw. europäischem Recht wirksame Einwilligung legitimiert werden kann.

Mit der Frage, ob die juritsische Betrachtung des ULD zutreffend ist, hat sich Rechtsanwalt Stefan Schmidt im Rahmen eines Gastbeitrags für mein Blog beschäftigt.

Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation „Digitale Gesellschaft“ schreibt in ihrem Blog dazu:

Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

Update:
Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten“ alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

Der vielbeachtete Rechtsstreit um ein Sample aus dem Track „Metall auf Metall“ der Band Kraftwerk für einen Titel von Sabrina Setlur ist vor zwei Jahren durch den BGH nur vorläufig entschieden worden. Der BGH ist zwar grundsätzlich von einer Urheberrechtsverletzung ausgegangen, hat andererseits aber eine sog. freie Benutzung (§ 24 UrhG) des Werks „Metall auf Metall“ – das dem legendären Kraftwerk-Album „Trans Europa Express“ entstammt – nicht per se ausgeschlossen. Aus diesem Grund hat der BGH die Sache zurückverwiesen. Das OLG Hamburg hat die beklagten Komponisten und Produzenten Moses Pelham und Martin Haas nunmehr mit Urteil vom 17.08.2011 (Az.: 5 U 48/05) erneut zur Unterlassung verurteilt.

Das Oberlandesgericht ist der Auffassung, dass Pelham und Haas sich nicht auf das Recht zur freien Benutzung berufen können, weil sie auch in der Lage gewesen wären, die gesampelte Sequenz selbst herzustellen.

Das OLG hat die Revision zum BGH wieder zugelassen. Nach Ansicht des Senats bedarf es einer weiteren höchstrichterlichen Klärung, welche Maßstäbe für die Möglichkeit der Eigenherstellung von Tonaufnahmen gelten, bevor auf fremde Tonaufnahmen ohne Einwilligung des Rechteinhabers zurückgegriffen werden kann.

Der Fall bleibt weiter interessant.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) fordert in einer Pressemitteilung vom 19.08.2011 alle Webseitenbetreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen, weil man nach eingehender technischer und rechtlicher Prüfung zu dem Ergebnis gelangt sei, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Das ULD droht den Diensteanbietern sogar mit Untersagungsverfügungen und Bußgeldern, sollten sie der Aufforderung nicht nachkommen.

Das ULD hat seine vollständige Analyse ebenfalls veröffentlicht.

Dass Facebook jedenfalls verpflichtet ist, deutsches Datenschutzrecht zu beachten, hatte ich gestern in einem ausführlichen Beitrag dargestellt.

Update:
Gegenüber Heise-Online legt Thilo Weichert nach und erklärt „Wir werden die Eskalation suchen und dazu das gesamte Instrumentarium nutzen„. Man kann sich da natürlich die Frage stellen, warum das ULD die Eskalation gegenüber Webseitenbetreibern sucht und nicht unmittelbar gegen Facebook – ggf. in Zusammenarbeit mit anderen Landesbehörden – agiert. Das gesamte Instrumentarium würde jedenfalls ein Vorgehen deutscher Datenschutzbehörden gegen Facebook umfassen.

Update:
Es sieht irgendwie so aus, als würde das ULD selbst Plugins von Facebook und Twitter benutzen. Oder was ist das am unteren Bildschirmrand Herr Weichert?

Das sind offenbar nur Share-Links. Außerdem wurde ich darauf hingewiesen, dass es sich um eine Seite des Landes handelt und nicht um eine offizielle Seite des Datenschutzbeauftragten. Dennoch zeigt das Beispiel den schwierigen Umgang auch der offiziellen Stellen mit Facebook und Co.

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

Bin gerade von On3-Radio zu den England-Riots interviewt worden. Eine der Fragen lautete, ob auch in Deutschland eine Verurteilung – wie in England geschehen – zu einer Freiheitsstrafe von 4 Jahren denkbar sei, für einen Aufruf über Facebook, sich an Plünderungen zu beteiligen.

Der Tatbestand der öffentlichen Aufforderungen zu Straftaten (§ 111 StGB) sieht vor, dass derjenige, der zur Tat aufruft wie ein Anstifter zu bestrafen ist, wenn die Aufforderung tatsächlich in eine entsprechende Tat mündet. Wer also zum Beispiel zu einem Mord auffordert, muss mit einer lebenslangen Freiheitsstrafe rechnen, wenn dieser Mord dann begangen wird.

Wenn der Aufruf nicht erfolgreich ist, wird die Tat mit Freiheitsstrafe von bis zu 5 Jahren oder Geldstrafe bestraft. Der englische Fall würde sich in Deutschland also im obersten Bereich des Strafrahmens bewegen, aber gänzlich ausgeschlossen wäre eine derart hohe Strafe auch nach deutschem Recht nicht.

Eine Aufforderung zu einer Straftat ist übrigens mehr als eine bloße Befürwortung. Der BGH spricht von einer an die Motivation Dritter gerichteten Erklärung, die erkennbar ein bestimmtes Tun verlangt. Auch wenn einige Staatsanwaltschaften hierzu andere Auffassungen vertreten haben, dürfte deshalb der Klick auf den Gefällt-Mir-Button bei Facebook noch keine ausreichende Tathandlung darstellen.

Die bisherigen Rundfunkgebühren sollen bekanntlich ab dem Jahr 2013 durch eine Haushaltsabgabe ersetzt werden.

In letzter Zeit regt sich verstärkt Kritik an den umfassenden Auskunftsansprüchen, die die GEZ bzw. die Landesrundfunkanstalten im Zuge der Neuregelung erhalten sollen und auch daran, dass selbst Grundstückseigentümer und Verwalter zur Auskunft über Mieter bzw. Bewohner verpflichtet sein sollen. Hiergegen wenden sich nicht nur Datenschützer sondern z.B. auch die Eigentümervereinigung Haus und Grund.

Die maßgeblichen Vorschriften finden sich in den §§ 8 und 9 des geplanten 15. Rundfunkänderungsstaatsvertrags. Auf besondere Kritik ist u.a. die Vorschrift des § 8 Abs. 5 Nr. 3 gestoßen, die lautet:

Bei der Abmeldung sind zusätzlich folgende Daten mitzuteilen und auf Verlangen nachzuweisen: (…) der die Abmeldung begründende Lebenssachverhalt und die Beitragsnummer des für die neue Wohnung in Anspruch genommenen Beitragsschuldners

Damit weiß die GEZ im Grunde immer, aus welchen Gründen jemand eine bestimmte Wohnung bzw. einen bestimmten Haushält verlässt und in eine neue Wohnung umzieht.

Nachdem die Beitragsschuld den Inhaber einer Wohnung trifft- nach der geplanten Regelung ist das jede volljährige Person, die die Wohnung selbst bewohnt – läuft dies auf eine weitgehende Pflicht zur Offenbarung privater Lebensumstände hinaus, die alle volljährigen Bürger trifft. Wer sich von seiner Frau trennt und aus der Ehewohnung auszieht, muss dies der GEZ nach dem Willen des Gesetzgebers als Grund der Abmeldung ebenso mitteilen und ggf. sogar nachweisen, wie die Beitragsnummer seiner neuen Lebensgefährtin, bei der er anschließend einzieht.

Hier stellt sich in der Tat die Frage, ob dies zur Erhebung von Rundfunkgebühren notwendig ist und ob eine solche Auskunftserteilung noch als angemessen betrachtet werden kann.