Internet-Law

Über das mögliche Ende der Cookies durch eine neue Vorschrift im TMG, die im Zuge der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation geschaffen werden soll, hatte ich kürzlich berichtet.

Wie das mit dem Pop-Up-Gewitter in der praktischen Umsetzung aussehen würde, zeigt das Blog von David Naylor sehr anschaulich. Vielleicht kann man es sich ja so besser vorstellen.

Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

Unlängst habe ich hier die Frage erörtert, ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts zu betrachten sind oder nicht. Diese Frage hat weitreichende Konsequenzen im Hinblick auf die Speicherung und Verarbeitung von IP-Adressen, die Zulässigkeit von Statistik-Tools wie Google Analytics und das sog. Tracking ganz allgemein.

Dass sich die juristische Diskussion weiterhin im Fluss befindet und eine abschließende Klärung der Frage noch nicht absehbar ist, zeigt ein gerade in der Zeitschrift MultiMedia und Recht veröffentlichter Aufsatz von Krüger/Maucher mit dem Titel „IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis“ (MMR 2011, 433).

Der Beitrag weist zunächst darauf hin, dass die Auswertung der Rechtsprechung und Literatur zu diesem Thema ein diffuses Bild ergibt. Die Autoren bieten sodann einen guten Überblick über die bisher ergangenen Entscheidungen sowie zu den unterschiedlichen Ansichten im juristischen Schrifttum. Krüger/Maucher selbst vertreten, was der Aufsatztitel schon nahelegt, mit durchaus nachvollziehbarer Argumentation die Theorie vom relativen Personenbezug und sind der Ansicht, dass IP-Adressen in den Händen fast aller datenverarbeitenden Stellen keinen Personenbezug aufweisen.

Nach Ansicht des Landgerichts Köln (Urteil vom 22.06.2011, Az.: 28 O 819/10) verstößt der Betreiber einer sog. Personensuchmaschine nicht gegen das KUG bzw. das Allgemeine Persönlichkeitsrecht, wenn er ein Dossier zu einer bestimmten Person erstellt und dazu im Wege eines „embedded links“ ein Foto der betroffenen Person einbindet, das der Betroffene an einem anderen Ort selbst online gestellt hat.

Das Landgericht Köln zieht zur Begründung eine durchaus gewagte Parallele zur Entscheidung Google-Bildersuche des BGH und meint, dass der Betroffene durch das Einstellen des Fotos an anderer Stelle damit auch sein Einverständnis mit einer Nutzung durch eine Personensuchmaschine erklärt hat. Das Gericht geht dann sogar noch einen Schritt weiter und meint, dass auch die Erklärung des Betroffenen, er wünsche die Veröffentlichung nicht, unbeachtlich sei, solange er nicht für die Entfernung des Bildes an der Quelle sorge.

Ich halte die Entscheidung des Landgerichts Köln für falsch. Das Gericht lässt sich offenbar zu sehr von dem Begriff der Suchmaschine leiten, ohne genauer zu hinterfragen, was eine Personensuchmaschine tatsächlich macht, obwohl im Tatbestand bereits anklingt, dass der Betreiber ein Dossier aus im Internet auffindbaren Informationen anfertigt.

Personensuchmaschinen erstellen – ohne den Betroffenen darüber zu informieren – Persönlichkeitsprofile, indem sie Informationen und Fotos, die im Netz verfügbar sind, sammeln und unter dem Namen der Person verknüpfen. Das geht über die Tätigkeit der Bildersuche von Google weit hinaus.

Die Erstellung eines solchen Persönlichkeitsprofils wäre zunächst unter datenschutzrechtlichen Aspekten zu würdigen gewesen. Selbst wenn man insoweit der Ansicht ist, dass hierfür eine Gestattung nach § 29 BDSG in Frage kommt, müsste doch der Widerspruch des Betroffenen dazu führen, dass das gesamte Profil und nicht nur die Einbindung des Bildes zu löschen ist.

Aber auch die Gleichsetzung der urheberrechtlichen und der persönlichkeitsrechtlichen Betrachtung erscheint fragwürdig. Denn es geht vorliegend nicht lediglich um Vorschaubilder im Rahmen einer Bildersuche, sondern um die Erstellung eines kompletten Profils einer Person. Sinn und Zweck des Rechts am eigenen Bild ist es aber gerade, dass das Erscheinungsbild einer bestimmten Person in einer bestimmten Situation erhalten bleibt. Der Wechsel des Kontexts ist gerade das, was das Persönlichkeitsrecht verhindern will. Während es in dem vom BGH entschiedenen Fall nur um Thumbnails geht, also eine Vorschaufunktion, binden Personensuchmaschinen die Fotos von Personen in das von ihnen zusammengestellte Persönlichkeitsprofil ein. Das ist qualitativ nicht vergleichbar.

Update:
Die 28. Zivilkammer des LG Köln hat einen ähnlichen Sachverhalt vor zwei Jahren noch anders entschieden. Offenbar war man tatsächlich der Meinung, wegen der Entscheidung zur Google-Bildersuche seine Rechtsprechung ändern zu müssen.

Die Diskussion um die Frage, ob IP-Adressen personenbezogene Daten sind, wird mittlerweile nicht mehr ausschließlich von Juristen geführt, was man angesichts ihrer Bedeutung für den Datenschutz im Netz nur begrüßen kann.

Ich möchte dies zum Anlass nehmen, die rechtliche Streitfrage ausführlicher zu erläutern und die unterschiedlichen Positionen darzustellen. Ausgangspunkt soll die gesetzliche Regelung sein, die wir in § 3 Abs. 1 BDSG

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

und in Art. 2 a) der EU-Datenschutzrichtlinie

alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

finden.

Ein personenbezogenes Datum liegt also dann vor, wenn eine Person bestimmbar ist, wofür es nach der Richtlinie ausreicht, dass die Person indirekt identifiziert werden kann.

Was folgt hieraus für IP-Adressen? Bei dynamischen IP-Adressen kann zumindest mithilfe des Zugangsproviders ermittelt werden, welche Person Anschlussinhaber bzw. Kunde des Providers ist. Dass es sich hierbei nicht um ein theoretisches Szenario handelt, zeigen die Fälle des Filesharing, in denen in jedem Jahr mehrere hunderttausend Anschlussinhaber identifiziert und anschließend abgemahnt werden. Genügt das also, um von einem personenbezogenen Datum auszugehen?

In der juristischen Literatur und auch der bislang eher spärlichen Rechtsprechung besteht seit längerer Zeit Streit darüber, wann eine Person in diesem Sinne bestimmbar ist.

Die Theorie vom absoluten Personenbezug, die insbesondere von den Datenschutzbehörden von Bund und Ländern vertreten wird, geht davon aus, dass es ausreichend ist, wenn irgendein Dritter in der Lage ist, einen Personenbezug herzustellen. Dieser Ansicht zufolge sind IP-Adressen stets personenbezogene Daten, weil zumindest der Access-Provider diese Zuordnung vornehmen kann.

Die Theorie vom relativen Personenbezug nimmt demgegenüber an, dass es maßgeblich darauf ankommt, ob die Stelle, die die IP-Adresse speichert, in der Lage ist, eine (natürliche) Person zu ermitteln und zwar mithilfe der ihr selbst zur Verfügung stehenden Mittel. Das würde bedeuten, dass IP-Adressen nicht per se als personenbezogen zu betrachten sind. Der Betreiber einer Website, der IP-Adressen loggt, kann nämlich regelmäßig mit eigenen Mitteln keinen Personenbezug herstellen.

Aber selbst das ist nicht immer so eindeutig. Nehmen wir das Beispiel Google. Man wird auf den ersten Blick der Ansicht sein, dass ein Anbieter wie Google grundsätzlich nicht in der Lage ist, mithilfe der IP-Adresse eine konkrete Person zu identfizieren. Das sieht aber bereits dann anders aus, wenn ein Nutzer einen Google-Account unterhält, weil er einen der zahlreichen Google-Dienste (Mail, blogger.com, Analytics, AdWords) nutzt und zudem dort gerade eingeloggt ist. In diesem Fall kann Google den Personenbezug selbst herstellen.

In der juristischen Literatur gibt es für beide Ansichten eine Reihe von Vertretern, ein eindeutiges Übergewicht einer der beiden Meinungen ist nicht festzustellen. Je nachdem, was man liest, wird mal die eine und dann wieder die andere Auffassung als herrschend bezeichnet. In der Rechtsprechung sieht es ähnlich aus, wobei dort in der Tendenz eher die Ansicht vom relativen Personenbezug vorherrscht. In diesem Sinne haben sich z.B. das OLG Hamburg, das Landgericht Frankenthal (MMR 2008, 687), das Verwaltungsgericht Düsseldorf und das Amtsgericht München geäußert.

Welche Ansicht ist also richtig? Wenn man sich am Wortlaut der Richtlinie orientiert, dürfte mehr für die Annahme eines absoluten Personenbezugs sprechen. Denn nach Art. 2a) der Datenschutzrichtlinie ist eine Person schon dann als bestimmbar anzusehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer. Wenn man die IP-Adresse also als eine Art Kennnummer betrachtet, dann ermöglicht sie über den Umweg des Providers indirekt eine Identifizierung einer natürlichen Person. Diese Ansicht wird noch verstärkt durch Erwägungsgrund 26 der Datenschutzrichtlinie, der u.a. besagt:

Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.

Damit ist europarechtlich relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (Provider) den Personenbezug herstellen kann.

In einem der aktuellen juristischen Aufsätze zum Thema (Sachs, CR 2010, 547) wird die Rechtslage so zusammengefasst, dass sich die Frage anhand der Kriterien der juristischen Methodenlehre nicht eindeutig beantworten lässt, es aber zweifelhaft erscheint, ob die in Deutschland bislang vorherrschende Ansicht vom relativen Personenbezug aufgrund der Regelungen der Datenschutzrichtlinie und der Haltung der Aufsichtsbehörden aufrecht erhalten werden kann.

De lege ferenda halte ich das Ergebnis, dass eine IP-Adresse immer personenbezogen sein soll, aber nicht für sinnvoll, weil damit nach geltendem Recht streng genommen Serverlogs ganz generell und insgesamt unzulässig wären. Die notwendige Lösung besteht darin, internetspezifische Erlaubnistatbestände zu schaffen. Das wäre auch vor dem Hintergrund der Einführung von IPv6 wünschenswert, weil sich dadurch die Personenbeziehbarkeit noch erhöhen wird.

Neue Erlaubnistatbestände würden allerdings im Ergebnis zu einer Aufweichung des aber ohnehin nicht mehr praxistauglichen Datenschutzrechts führen. Bestrebungen in diese Richtung dürften deshalb auf erheblichen Widerstand insbesondere der Datenschutzbehörden stoßen. Aus diesem Grund werden wir wohl weiterhin mit einem Datenschutzrecht leben müssen, das die Onlinewirklichkeit nicht ausreichend abbildet.

Die Webserver des Landes Niedersachsen sperren laut einer Heise-Meldung Anonymisierungsdienste aus.

Der technische Dienstleister, der Landesbetrieb für Statistik und Kommunikationstechnologie, räumt ein, eine Sperrliste für bestimmte Anonymisierungsdienste einzusetzen und hält dies aus Gründen der IT-Sicherheit für geboten.

In dem Beitrag von Heise-Online wird bereits angedeutet, dass diese Praxis in Konflikt mit der gesetzlichen Regelung des Telemediengesetzes stehen könnte. Nach § 13 Abs. 6 TMG hat der Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

Die juristisch interessante Frage ist die, ob hieraus eine Verpflichtung des Diensteanbieters folgt, den Einsatz von Anonymisierungsdiensten wie Tor zu tolerieren, weil der Nutzer nur damit die vom Gesetz gewünschte Pseudonymität selbst herstellen kann. Eine Pseudonymisierung kann nur durch den Nutzer oder durch einen Dritten vorgenommen werden und nicht vom Diensteanbieter. Nach der Legaldefinition in § 3 Abs. 6a BDSG bedeutet Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Diese Pseudonymisierung führt der Betreiber des Anonymisierungsdienstes durch. Nach der Vorstellung des Gesetzgebers – zum TDDSG, das die fragliche Vorschrift bereits enthielt – soll der Nutzer ein Pseudonym verwenden dürfen, das verhindert, dass man auf seine wahre Identität schließen kann (BT-Drs. 13/7385, 23).

Indem der Gesetzgeber die Verwendung von Pseudonymen ausdrücklich ermöglichen will, folgt daraus auch, dass der Diensteanbieter diese Pseudonymisierung grundsätzlich zu respektieren hat. Dies gilt umso mehr für ein staatliches Informationsangebot. Es ist auch nicht ersichtlich, weshalb die Pseudonymisierung gerade in dem konkreten Fall technisch unzumutbar sein sollte.

„Facebook ist gefährlich“ und „Der Rat des Juristen kann nur sein, Facebook zu meiden“, schreibt Prof. Thomas Hoeren in einem Beitrag für den Deutschen Anwaltsspiegel. Die Begründung die er liefert, enttäuscht dann allerdings doch etwas.

Hoeren überrascht schließlich aber doch noch und zwar mit der durchaus gewagten These, dass deutsches Datenschutzrecht für Facebook nicht gelten würde. Hier hätte bereits die Lektüre der Facebook-Richtlinien (Statement of Rights And Responsibilities) weiter geholfen. Denn danach gilt für Streitigkeiten zwischen Facebook und seinen deutschen Nutzern deutsches Recht.

Unabhängig davon, wäre man aber auch nach der von Hoeren zitierten Vorschrift des § 1 Abs. 5 BDSG zu diesem Ergebnis gelangt. Denn auch wenn Facebook eine Niederlassung in Irland unterhält, soll das Nutzungsverhältnis nach dem Willen von Facebook mit der US-Mutter bestehen. Und für diesen Fall ordnet § 1 Abs. 5 S. 2 BDSG die Geltung des BDSG an.

Facebook hat gerade damit begonnen, ein Gesichtserkennungs-Feature einzubauen. Wenn Facebooknutzer neue Fotos hochladen, gleicht eine Software diese automatisch mit anderen Fotos ab. Wenn hierbei das Gesicht einer Person erkannt wird, das auch auf dem hochzuladenden Foto zu finden ist, schlägt Facebook dem Nutzer vor, diese Person zu markieren („taggen“). Damit werden letztlich Fotos mit den Namen der abgebildeten Personen beschriftet.

Dieser Vorgang beinhaltet eine Verarbeitung und Nutzung personenbezogener Daten. Denn der Bezug zwischen der abgebildeten Person und ihrem Namen wird erst durch die Gesichtserkennungssoftware hergestellt und anschließend durch die Markierung auch öffentlich gemacht. Eine solche Verarbeitung personenbezogener Daten erfordert nach dem Bundesdatenschutzgesetz grundsätzlich die Einwilligung der betroffenen Person. Ganz unabhängig davon, dass natürlich auch das Hochladen von Fotos, auf denen fremde Personen abgebildet sind, rechtlich nur dann zulässig ist, wenn die abgebildeten Personen in die Veröffentlichung eingewilligt hat (§ 22 KUG).

Das grundsätzliche Problem der Vorgehensweise von Facebook besteht darin, dass Facebook diese Funktion bei allen Nutzern standardmäßig aktiviert hat. Wer sich nicht erkennen und markieren lassen will, muss diese Funktion deshalb in seinen Einstellungen deaktivieren. Nach deutschem und europäischem Datenschutzrecht wäre allerdings die umgekehrte Vorgehensweise erforderlich. Facebook hätte diese neue Funktion also per Default deaktiviert halten müssen. Es ist dann den Nutzern überlassen, diese Funktion ausdrücklich zu aktivieren. Aber auch in diesem Fall müsste Facebook den Nutzern die Funktion erläutern und auch erklären, welche konkreten Daten dadurch kombiniert und gespeichert werden. Denn der Betroffene muss auf den Zweck der Datenerhebung und -verabreitung hingewiesen werden (§ 4a BDSG).

Nach geltender Rechtslage könnte eine solche Gesichtserkennung nur mithilfe eines sauberen Opt-In-Verfahrens datenschutzkonform ausgestaltet werden.

Manche Pressemeldungen sind irritierend. Die Internet Word meldet, der bayerische Datenschutzbeauftragte Thomas Kranig hätte Microsoft die Kamerafahrten für den umstrittenen Dienst Streetside jetzt erlaubt.

Ganz abgesehen davon, dass Herr Kranig nicht der bayerische Landesdatenschutzbeauftragte ist, suggeriert diese Meldung, der Start von Microsofts Pendant zu Google Street View sei in irgendeiner Form von der Genehmigung der Datenschutzaufsicht abhängig. Das ist allerdings nicht der Fall.

Es gibt vielmehr keine rechtliche Grundlage dafür, Dienste wie Street View oder Streetside zu untersagen, geschweige denn, von einer vorherigen Genehmigung abhängig zu machen.  Das ist natürlich auch den Datenschutzbehörden bewusst. Dennoch droht man mit Verfügungen und verlangt im konkreten Fall von Microsoft, dass den Bürgern ein Vorabwiderspruchsrecht eingeräumt wird, wofür es allerdings ebenfalls an einer rechtlichen Grundlage mangelt. Die Datenschutzbehörden versuchen vielmehr öffentlichen und politischen Druck aufzubauen, in der Hoffnung, dass die Unternehmen, weil sie öffentliche Diskussion fürchten, dann einlenken werden.

Die Rechtsgrundlage, auf die Kranig seine Drohung mit einer Verbotsverfügung wohl stützt, dürfte die relativ neue Vorschrift des § 38 Abs. 5 BDSG sein.

Danach ist aber selbst bei gravierenden Datenschutzverstößen eine sofortige Untersagung nicht vorgesehen, sondern vielmehr ein abgestuftes Verfahren durchzuführen. In materieller Hinsicht fehlt es aber vor allen Dingen an einem schwerwiegenden Verstoß. Beim Fotografieren von Häuserfassaden und Straßenzügen ist vielmehr ganz generell fraglich, ob überhaupt eine Erhebung und Verarbeitung personenbezogener Daten stattfindet.

Das Kammergericht hat mit Urteil vom 29.04.2011 (Az.: 5 W 88/11) eine Entscheidung des Landgerichts Berlin bestätigt, wonach die Einbindung des Like-Buttons von Facebook nicht wegen Verstoß gegen die datenschutzrechtliche Vorschrift des § 13 TMG wettbewerbswidrig ist.

Das Kammergericht geht allerdings anders als das Landgericht Berlin davon aus, dass die Vorschrift des § 13 TMG eine sog. Marktverhaltensregelung im Sinne von § 4 Nr. 11 UWG darstellen kann, allerdings nur dann, wenn die Verletzungshandlung die wettbewerbsbezogene Schutzfunktion des § 13 TMG beeinträchtigt. Und das verneint das KG im konkreten Fall.

Die Begründung des Senats klingt zunächst nach höherbesoldeter Einsicht, erweist sich aber bei näherer Betrachtung als unzutreffend. Insbesondere die Bezugnahme auf eine neuere Entscheidung des BGH, wonach steuerliche Vorschriften keine Marktverhaltensregeln darstellen, überzeugt nicht. Der BGH geht nämlich in dieser Entscheidung davon aus, dass nur dann, wenn der Gesetzesverstoß nicht mit dem Marktverhalten zusammenfällt, eine wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich ist. Das verneint er für steuerrechtliche Vorschriften, denn diese betreffen nicht das Marktverhalten, sondern regeln lediglich das Verhältnis zwischen dem Hoheitsträger und dem Steuerpflichtigen.

Diese Betrachtung ist auf datenschutzrechtliche Vorschriften aber nicht übertragbar. Denn datenschutzrechtliche Normen regeln gerade auch das Verhältnis eines Unternehmens zu seinen (potentiellen) Kunden. Beide sind deshalb, jedenfalls seit der letzten Neufassung des UWG, Marktteilnehmer. Gänzlich anders ist dies beim Steuerpflichtigen und den Finanzbehörden, die sich nicht als Marktteilnehmer gegenüber stehen.

Da datenschutzrechtliche Vorschriften also schon das Verhältnis von Marktteilnehmern regeln, kommt es nicht mehr darauf an, ob sie daneben noch eine wettbewerbsbezogene Schutzfunktion erfüllen.

Die Begründung des Kammergerichts erweist sich somit als nicht tragfähig.

Ähnlich sieht das auch Jens Ferner.