Internet-Law

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

Prof. Jochen Schneider, einer der renommiertesten IT-Rechtler in Deutschland, hat gerade einen Vorstoß gestartet, der auf eine vollständige Neugestaltung des Datenschutzrechts abzielt. Im Editorial der aktuellen NJW skizziert Schneider seine Ideen, die er u.a. in einem Aufsatz in der Zeitschrift für Datenschutz (ZD 2011, 63) zusammen mit Niko Härting näher erläutert. In einem weiteren Aufsatz im Anwaltsblatt (AnwBl. 2011, 233) erklärt Schneider das Verbotsprinzip des § 4 BDSG zum zentralen Hemmnis für einen modernen Datenschutz und stellt „12 Thesen zu einem Stufenmodell“ vor.

Die Ausführungen Schneiders treffen ins Schwarze und decken sich in Teilen mit der von mir in diesem Blog wiederholt geäußerten Kritik. Leider findet man aber auch unter den Internetaktivisten viele, die sich als Datenschützer begreifen und hierbei nicht verstehen, dass das geltende Datenschutzrecht und das Wesen der Internetkommunikation in einem unauflösbaren Spannungsverhältnis stehen.

Schneider hat dasVerbotsprinzip, von dem  das deutsche und europäische Datenschutzrecht geprägt wird, zutreffend als zentrales Hemmnis beschrieben. Worin das Problem genau besteht, ist relativ einfach zu erklären.

Das deutsche und auch das europäische Recht (Art. 7 DSRL) gehen davon aus, dass jede Art von Datenverarbeitung und damit auch die Datenübermittlung grundsätzlich verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt).

Wenn wir das auf die Internetkommunikation herunterbrechen, bedeutet dies Folgendes: Im Netz werden fortwährend personenbezogene Daten verarbeitet, zumal Datenschützer bereits jede IP-Adresse als personenbezogen betrachten. Das bedeutet letztlich, dass die Internetkommunikation nach dem System des deutschen und europäischen Rechts grundsätzlich zunächst verboten ist und nur durch punktuelle gesetzliche Gestattungstatbestände erlaubt wird. Diese Gestattungstatbestände – insbesondere §§ 28, 29 BDSG – stammen nun allerdings aus einer Zeit, als vom Internet noch keine Rede war, sondern Daten auf Großrechnern in Rechenzentren verarbeitet wurden.

Das Grundkonzept unseres Datenschutzrechts ist somit nicht internetkompatibel.

Schneider spitzt es darauf zu, dass ein Verbot (mit Erlaubnisvorbehalt) im Zeitalter des Internets auf ein Kommunikationsverbot hinauslaufen würde, weil die laufende Verarbeitung personenbezogener Daten zu den Grundmerkmalen digitaler Kommunikation gehört. Eine konsequente Anwendung eines überholten, auf dem Verbotsprinzip basierenden Datenschutzrechts – die freilich nicht stattfindet – würde zwangsläufig mit der Kommunikatonsfreiheit des Art. 5 GG kollidieren.

Damit ist die Post-Privacy-Debatte in gewisser Weise auch in der rechtswissenschaftlichen Diskussion angekommen, wobei die Kollision zwischen der tradierten Form des Datenschutzes und der Meinungs- und Kommunikationsfreiheit ein bislang nicht ausreichend gewürdigter Aspekt ist.

Die Internet-Enquete-Kommission, die bislang leider primär durch absurde Streitereien und weniger durch konstruktive Anregungen aufgefallen ist, thematisiert die von Schneider aufgeworfene Problematik in ihrem Papier zum Datenschutz, soweit ich erkennen kann, ebenfalls nicht.

Man darf gespannt sein, welchen Widerhall die Thesen Schneiders finden werden.

Die Verbraucherzentrale Bundesverband (vzbv) hat vor einigen Tagen eine Onlinepetition zum Petitionsausschuss des Bundestages gestartet, mit der folgende Forderung erhoben wird:

„Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, dass die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.“

Interessant daran finde ich zunächst, dass auch Organisationen wie die vzbv das Mittel der Onlinepetition für sich entdeckt haben. Obwohl dieses Instrumentarium kaum geeignet ist, auf legislativer Ebene etwas zu bewegen, wird sein Einsatz immer beliebter. Letztlich geht es aber wie bei anderen Onlinepetitionen nur darum, Aufmerksamkeit zu erzeugen und Berichterstattung zu erreichen, denn der Petitionsausschuss als solcher kann und wird nichts bewirken.

Auch wenn die Forderung der vzbv nach „Privacy By Default“ auf den ersten Blick vernünftig klingt, muss man sie aus zwei Gründen für problematisch halten.

Die Formulierung ist zunächst in dieser Form deutlich zu unbestimmt. Was sind Produkte und Dienste? Zu den Diensten im Sinne des TMG und des RStV zählen alle möglichen Internetangebote von der normalen Website, über den Onlineshop bis hin zum Blog. Nachdem zusätzlich von Produkten die Rede ist, soll der Anwendungsbereich wohl noch darüber hinaus gehen. Dass damit also spezifisch soziale Medien wie Facebook angesprochen würden, ist nicht ersichtlich.

Wenn wir allerdings  tatsächlich speziell von Facebook und Co. reden, muss man sich außerdem darüber im Klaren sein, dass die Grundeinstellungen von Facebook, deren Datenschutzbestimmungen sowie die Praxis Facebooks, Daten nicht ohne weiteres mehr löschen zu können, ohnehin nicht mit dem geltenden Datenschutzrecht vereinbar ist. Der Grund dafür, dass sich bislang nichts geändert hat, resultiert aus einem Vollzusgdefizit des deutschen und europäischen Datenschutzrechts.

Wieso sollte man also annehmen, dass neue gesetzliche Regelungen alleine dazu führen werden, dass sich Facebook gesetzeskonform verhalten wird, wenn dies bislang auch nicht der Fall war? Am grundlegenden Problem der fehlenden Durchsetzung des Datenschutzrechts ändert sich durch zusätzliche gesetzliche Vorgaben jedenfalls nichts.

Kritisiert wird der Verstoß der vzbv übrigens auch vom Branchenverband BITKOM. Ob dessen Einwände stichhaltig sind, kann jeder selbst beurteilen.

Das Grundproblem von kostenlosen sozialen Medien wie Facebook oder Google+ besteht darin, dass der Anbieter seine Einnahmen mit den Daten der Nutzer erzielt. Dafür muss er Nutzer- bzw. Bewegungsprofile erstellen, die es ihm ermöglichen, gezielt zu werben oder gar Daten an Drittfirmen zu verkaufen. Letzteres wird offiziell freilich stets bestritten. Die Verkehrsdaten der Nutzer sind letztlich zentraler Bestandteil des Geschäftsmodells von Facebook und Google+.

Vor diesem wirtschaftlichen Hintergrund wird es auch in Zukunft schwierig sein, von Wirtschaftsunternehmen zu erwarten, dass sie eine kostenlose Dienstleistung erbringen und gleichzeitig auf jede Form des Trackings verzichten. Die Alternativen sind entweder bezahlte Mitgliedschaften, für die es keine ausreichende Nutzerakzeptanz gibt, oder altruistisch geführte Social-Media-Plattformen.

Solange die Anbieter aber Facebook oder Google heißen und wir uns als Nutzer auf deren Plattformen bewegen wollen, wird sich im Ergebnis wenig ändern. Facebook und Google werden immer versuchen, mit den Behörden zu kooperieren bzw. diesen Anschein erwecken. Alles was sie anzubieten haben, sind aber Scheinlösungen, weil sie andernfalls ihr Geschäftsmodell preisgeben müssten.

Der Hamburgische Datenschutzbeauftragte hat heute eine, zumindest für mich, überraschende Pressemitteilung herausggegeben, in der er erklärt, dass Webseitenbetreibern ab sofort ein beanstandungsfreier Einsatz von Google Analytics möglich sei. Parallel hat auch Google Deutschland eine Mitteilung seines betrieblichen Datenschutzbeauftragten dazu veröffentlicht.

Das ist zwar für Nutzer von Google Analytics im Ergebnis erfreulich, zeigt allerdings bei näherer inhaltlicher Betrachtung, dass Deutschland nunmehr endgültig zum datenschutzrechtlichen Schilda geworden ist.

Der Hamburger Datenschutzbeauftragte teilt u.a. mit, dass  Google das Verfahren nunmehr dahingehend geändert habe, dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Gleichzeitig verlangt er aber, dass der Webseitenbetreiber mit Google einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen soll.

Diese Ausführungen sind datenschutzrechtlich widersprüchlich und auch widersinnig. Wenn tatsächlich eine Anonymisierung der IP-Adressen der Nutzer vor einer Übermittlung an Google stattfindet, dann bedeutet dies nichts anderes, als dass an Google keine personenbezogenen Daten mehr übermittelt werden.

Damit entfällt aber nach dem Gesetz die Pflicht des § 13 TMG, über die Datenerhebung und -verwendung zu informieren und insoweit dann auch die Notwendigkeit einer Datenschutzerklärung. Eine Vereinbarung über eine Auftragsdatenverarbeitung kann dann ebenfalls nicht mehr geboten sein, weil diese ja gerade eine (externe) Verarbeitung personenbezogener Daten voraussetzt.

Die Forderung nach einer schriftlichen Vereinbarung zwischen dem Webseitenbetreiber und Google i.S.v. § 11 BDSG ist aber auch deshalb fragwürdig, weil die inhaltlichen Anforderungen des § 11 BDSG in dieser Konstellation schwerlich erfüllbar sind. Erforderlich wäre es nämlich, dass Google an die Weisungen des Webseitenbetreibers gebunden ist (§ 11 Abs. 3 BDSG) und, dass Google dem Webseitenbetreiber umfangreiche Prüf- und Kontrollmöglichkeiten einräumt.

Google hält insoweit auch schon eine standardisierte Vereinbarung bereit, die Google sogar unterschreiben und zurückschicken will. Diese Vereinbarung genügt m.E. aber den inhaltlichen Anforderungen des § 11 BDSG, insbesondere, was die Kontrollrechte angeht, nicht. Denn die Kontrollmöglichkeit wird von Google darauf beschränkt, dass der Webseitenbetreiber als Auftraggeber einen Prüfbericht eines Wirtschaftsprüfers einsehen kann.

Auch die Konstruktion erscheint unklar. Offenbar soll diese Vereinbarung nach der Ansicht Googles mit Google Deutschland getroffen werden, während die Datenverarbeitung aber in den USA stattfindet. Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der Vorschrift des § 11 BDSG.

Machen wir es also nicht komplizierter als es ist. Wenn mittels Google Analytics, bei Einsatz des sog. IP-Masking, keine personenbezogenen Daten mehr übermittelt werden – und genau das besagt die Pressemitteilung des Hamburger Datenschutzbeauftragten – dann sind insoweit auch keinerlei datenschutzrechtliche Anforderungen mehr zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG).

Die bayerische Aufsichtsbehörde hat mir übrigens bereits zu Beginn des Jahres, im Rahmen einer Mandatsbearbeitung, mitgteteilt, dass gegen den Einsatz von Google Analytics keine Einwände bestünden, wenn das von Google bereitgestellte Zusatztool zum sog. IP-Masking verwendet und zusätzlich eine ausreichende Datenschutzerklärung vorgehalten wird.

Ergänzend noch ein paar Links zum Thema:

Datenschutztheater (von Kris Köhntopp)

Google Analytics ist amtlich datenschutzkonform (Heise)

Die Diskussion zu meinem Post auf Google+

GOOGLE ANALYTICS IST DATENSCHUTZKONFORM NUTZBAR!? (von Laurent Meister)

Das OLG Hamburg (Urteil vom 02.08.2011, Az.: 7 U 134/10) hatte sich mit der Frage zu befassen, ob die Veröffentlichung von Name, Anschrift und Geburtsdatum eines Geschäftsführers, im Zusammenhang mit einer kritischen Beerichterstattung über sein Unternehmen, zulässig ist, wenn die fraglichen Informationen dem irischen Handelsregister zu entnehmen sind.

Das Gericht hält die Veröffentlichung im Ergebnis für zulässig und argumentiert primär datenschutzrechtlich, wobei man sich maßgeblich auf die Vorschrfit des § 28 Abs. 2 BDSG stützt. Die Entscheidung des OLG Hamburg ist im Ergebnis sicherlich zutreffend, wenngleich man datenschutzrechtlich im konkreten Fall wohl eher auf § 29 BDSG hätte abstellen müssen,nachdem Beklagter der Betreiber eines Internet-Forums war. Dieser speichert primär zum Zwecke der Übermittlung an die Nutzer seines Forums. Zudem hätte sich angeboten,  die Frage eines Berichterstattungsprivilegs zu erörtern.

Das Landgericht München I hatte in einem ähnlich gelagerten Fall entschieden, dass der Gesetzgeber für solche Daten, die einem Handelsregister entnommen werden können, die grundsätzliche Abwägung zwischen Persönlichkeitsrecht und öffentlichem Informationsinteresse bereits zugunsten des Informationsinteresses getroffen hat.

In der heutigen Tagespresse wird darüber berichtet, dass Telefonanbieter Daten ihrer Kunden deutlich länger speichern würden, als bisher bekannt. Dies ergäbe sich, so z.B. die Berliner Zeitung, aus einer vertraulichen Aufstellung der Generalstaatsanwaltschaft München. Diese Aufstellung, die mir ebenfalls vorliegt, nennt sich „Leitfaden zum Datenzugriff“ und stammt vom Juni 2011, ist also relativ aktuell. Dieser Leitfaden dient der Information von Staatsanwaltschaften. Dort enthalten ist neben einer ausführlichen Darstellung der Befugnisse im Bereich der TK-Überwachung u.a. auch eine ausführliche Übersicht über die Speicherpraxis von Telefonabietern und Providern, die ich hier in Auszügen wiedergeben möchte. An der einen oder anderen Stelle ist man doch erstaunt, wie lange tatsächlich gespeichert wird. Von den großen Anbietern speichert u.a. Vodafone bedenklich lange, kleinere bzw. regionale Anbieter wie Hanse-Net oder M-Net können dies allerdings noch toppen.

Übersicht rückwirkende Verkehrsdaten der Netzbetreiber

T-Mobile D1
1 – 30 Tage: Alle Verkehrsdaten liegen vollständig vor
31 – 180 Tage:
– T-Mobile-Rufnummern: 80 Tage abgehend
– Prepaidkunden: 180 Tage
– Serviceprovider: 180 Tage

Vodafone (D2) Mobilfunkbereich
1- 7 Tage: Alle Verkehrsdaten liegen vollständig vor (inkl. IMSI-IMEI-Geo-Daten)
30 Tage: Alle gebührenpflichtigen ankommenden und alle abgehenden Verkehrsdaten liegen vollständig vor (inkl. IMSI, IMEI, Geo-Daten)
31 – 80 Tage: IMEI-Kennungen können bis zu diesem Zeitpunkt vollständig beauskunftet werden
81 – 180 Tage: Alle noch gespeicherten Verkehrsdaten liegen ohne IMEI, IMSI, Geo-Daten vor, mit der Folge, dass die abgehenden Daten zu IMEI-Kennungen ab diesemZeitpunkt nicht mehr festgestellt werden können.

Vodafone Festnetzbereich (Integration von Arcor)
92 Tage: Alle Verkehrsdaten liegen vollständig vor

E-Plus
90 Tage: Alle Verkehrsdaten liegen vollständig vor

Telefonica O2
1 – 7 Tage: Alle Verkehrsdaten liegen vollständig vor
8 – 30 Tage: Es liegen nur noch abrechnungsrelevante Daten vor. Eingehende Anrufe liegen nur vor, sofern sie von einem Fremdnetz kamen; rkehrsdaten von Serviceprovidern liegen vor

Deutsche Telekom AG (DTAG)
0 Tage: Ankommende Verkehrsdaten werden nicht gespeichert
3 Tage: Abgehende Verkehrsdaten liegen vollständig vor (auch Flatrate)
4 – 80 Tage: Speicherung ist abhängig vom Kundenwunsch.

HanseNet
180 Tage: Alle Verkehrsdaten liegen vollständig vor

M-Net
180 Tage: Alle Verkehrsdaten liegen vollständig vor

BT Germany
180 Tage: netzübergreifend beide Richtungen, ankommende Verbindungen können unvollständig sein

Übersicht Funkzellendaten der Netzbetreiber

T-Mobile D1
30 Tage (kommend) 30 Tage (gehend), Telefonie und SMS vollständig

Vodafone (D2)
7 Tage (kommend) 80 Tage (gehend), Telefonie und SMS vollständig

E-Plus
90 Tage (kommend) 90 Tage (gehend), Telefonie und SMS vollständig

Telefonica O2
7 Tage (kommend) 30 – 182 Tage (gehend), Telefonie und SMS vollständig

Übersicht Speicherfristen IP-Adressen Diensteanbieter

Web.de
30 Tage

1 & 1
60 Tage

GMX
Daten werden beim nächsten Login überschrieben

Übersicht Speicherfristen IP-Adressen Netzbetreiber

Freenet
Keine Speicherung

1 & 1
60 Tage (Non-Access-Provider; als VoIP Anbieter)

Kabel Deutschland
Keine Speicherung, bei aktuellem Login IP-Adressen Feststellung möglich; aber hoher technischer Aufwand

Net Cologne
4 Tage

Versatel Deutschland
3 Tage

Der Beck-Verlag bringt eine neue Zeitschrift zum Datenschutzrecht auf den Markt. Die Erstausgabe der Zeitschrift für Datenschutz (ZD) ist als Appetizer vollständig im Netz verfügbar. Darin beschäftigen sich u.a. Thomas Hören mit der datenschutzrechtlichen Zulässigkeit von Google Analytics und Antonie Knierim mit der Problematik der Kumulation der Vorratsspeicherung von TK- und Fluggastdaten.

In der zweiten Ausgabe der Zeitschrift wird übrigens ein Beitrag von mir zum Thema Ausschluss von Pseudonymen bei Google Plus und Facebook erscheinen.

Man kann sich natürlich die Frage stellen, ob eine weitere juristische Zeitschrift (zum Datenschutz) wirklich gebraucht wird.

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel „Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?“.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:

• Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht? (Stefan Schmidt)
• Öffentlichkeitsarbeit einer Landesbehörde (Niko Härting)
• Stellungnahme zum „Facebook“-Boykott-Aufruf  vom 19. August 2011 durch die schleswig-holsteinische Datenschutzbehörde ULD (Strunk/Dirks)
• Arbeitspapier zu Facebooks Like-Button (Adrian Schneider)
• Bussgelder: Kommt das Facebook-Verbot? (Jens Ferner)
• Einbindung des Facebook „Like-Buttons“ nicht datenschutzkonform? (eigener Beitrag)

Der Ausschuss Informationsrecht des Deutschen Anwaltvereins hat zum Thema Cloud Computing, speziell aus datenschutzrechtlicher Sicht Stellung genommen.

Seine zentralen Thesen lauten:

• Cloud Computing mit Dienstleistern außerhalb der EU ist (rechtlich) derzeit nicht möglich.
• Wegen der strengen deutschen Regeln zur Auftragsdatenverabreitung ist Cloud Computing in der Regel selbst dann unzulässig, wenn die Datenverarbeitung in solchen Ländern stattfindet, die nach Ansicht der EU ein geeignetes Datenschutzniveau aufweisen.

Das bedeutet aber im Grunde nichts anderes, als, dass die Cloud-Dienste von amerikanischen Anbietern wie Apple oder Google nach deutschem Datenschutzrecht unzulässig sind und, dass eigentlich jegliches Cloud Computing bei denen die Server außerhalb der EU stehen, nicht den Anforderungen unseres Datenschutzrechts genügt.

Bereits der Bundesdatenschutzbeauftragten hatte in seinem letzten Tätigkeitsbericht zum Ausdruck gebracht, dass er Cloud Computing als globales Modell für nicht mit dem Datenschutzrecht vereinbar hält. Dass die Vorschriften über die Auftragsdatenverarbeitung bei entsprechender Auslegung auch das Hosting in Frage stellen können, habe ich bereits in einem früheren Beitrag erläutert.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat vor einigen Tagen alle Webseitenbetreiber in Schleswig-Holstein aufgefordert, den „Gefällt mir“-Button von ihren Webseiten zu entfernen und zudem Fanpages bei Facebook zu löschen.

Weil diese Aufforderung nicht nur im Netz hohe Wellen geschlagen hat, sondern auch beim ULD zu mit Sicherheit erbosten Rückfragen geführt hat, sieht sich die Datenschutzbehörde offenbar veranlasst, verschiedene Fragen zu beantworten.

Einige Kollegen sind der Ansicht, dass das ULD damit auch teilweise zurückrudern würde, nachdem man zunächst sogar die Ansicht vertreten hatte, dass die Datenverarbeitung bei Facebook nicht durch eine nach deutschem bzw. europäischem Recht wirksame Einwilligung legitimiert werden kann.

Mit der Frage, ob die juritsische Betrachtung des ULD zutreffend ist, hat sich Rechtsanwalt Stefan Schmidt im Rahmen eines Gastbeitrags für mein Blog beschäftigt.