Internet-Law

Die sog. Digitale Gesellschaft, die ich zu ihrer Gründung hier bereits kritisiert hatte, tritt soweit ersichtlich, erstmals mit inhaltlichen Forderungen zum Datenschutz an die Öffentlichkeit und meint, Datenschutzverstöße müssten weh tun. Von den vier Forderungen der Digitalen Gesellschaft habe ich mir zwei näher angeschaut.

Gefordert wird u.a. eine Beweislastumkehr für solche Fälle, in denen ein Unternehmen die Datensicherheit vernachlässigt hat. Man hat dabei ersichtlich den aktuellen Sony-Fall vor Augen. Die Forderung der Digitalen Gesellschaft lautet konkret:

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat. (Risikoverschiebung)“

Wie das rechtlich umgesetzt werden soll, bleibt allerdings unklar. Man muss sich vor Augen führen, dass es hier vor allen Dingen um die Frage der Kausalität geht. Soll also eine Kausalitätsvermutung geregelt werden? Die Forderung erscheint mir inhaltlich nicht präzise durchdacht und formuliert zu sein.

Des weiteren wird gefordert, im Datenschutzrecht Sammelklagemöglichkeiten für Verbraucher einzuführen.

Das Institut der Sammelklage ist dem deutschen Recht bislang fremd. Seine Einführung müsste deshalb für alle möglichen Bereiche sorgfältig geprüft werden. Weshalb Sammelklagen allerdings gerade im Datenschutzrecht ein sonderlich effektives Instrument darstellen sollten, erschließt sich mir nicht. Insoweit wäre zunächst die Frage zu stellen, welche materiellen Ansprüche/Forderungen mit einer solchen Sammelklage verfolgt werden sollten bzw. typischerweise verfolgt werden könnten. Die Durchsetzung von Schadensersatzforderungen dürfte bereits deshalb schwierig sein, weil jeder einzelne Kläger nachweisen müsste, ob und in welcher Höhe ein Schaden tatsächlich eingetreten ist. In Fällen wie bei Sony wird es nur bei den wenigsten Betroffenen zu einem Schaden kommen.

Wenn Datenschutzverstöße stärker weh tun sollten, dann wäre es vor allen Dingen sinnvoll, den Bußgeldrahmen des § 43 Abs. 3 BDSG deutlich auszuweiten und anschließend in Fällen gravierender Verstöße großer Unternehmen auch zügig empfindliche Bußgelder zu verhängen.

Unter dem Titel „Die naive Datenkuh“ – die Autorin meint damit den naiven Verbraucher und keinesfalls sich selbst – wird im Tagesspiegel wieder einmal über datenhungrige Unternehmen berichtet und über Nutzer, die diesen Hunger allzu leichtfertig bedienen.

Natürlich darf in diesem Kontext in diesen Tagen auch ein Hinweis auf das Buch „Die Datenfresser“ von Constanze Kurz und Frank Rieger nicht fehlen. Der Artikel selbst ist inhaltlich kaum der Rede Wert, überrascht aber schließlich mit einem interessanten Vorschlag in Richtung des Gesetzgebers. Die Autorin fordert nämlich ein Auskunftsrecht per Gesetz, mit dem jeder bei einem Unternehmen abfragen kann, welche persönlichen Daten zu seiner Person gespeichert sind.

Vielleicht wird es den einen oder anderen überraschen, aber dieses Auskunftsrecht gibt es längst. Geregelt ist es in § 34 BDSG. Ein Mindestmaß an journalistischer Recherche wäre gelegentlich wirklich von Vorteil.

Im Netzpolitik-Blog der Grünen ist gerade ein Beitrag von Konstantin v. Notz und Nils Leopold zur Debatte um Datenschutz, Privatsphäre und Post-Privacy erschienen.

Auch wenn der Beitrag zutreffend erkennt, dass das geltende Datenschutzrecht den Anforderungen des Internets nicht gewachsen ist, verfängt er sich, was die Lösungsmöglichkeiten angeht, allzu sehr in dem Datenschutzgeblubber, das man von professionellen Datenschützern zu oft hört und vermeidet es,  die wirklichen Knackpunkte überhaupt anzusprechen.

Die These, wonach es keinen Anlass zu einer pauschalen Absenkung der Datenschutzstandards mit Blick auf das Internet gibt, wird leider nicht untermauert. Eine realistische Betrachtung müsste nämlich die Frage stellen, wie beispielsweise Phänomene wie Cloud Computing und streng genommen das gesamte Massenhosting , ohne Absenkung des gesetzlichen Datenschutzniveaus, mit dem geltenden Recht in Einklang zu bringen sind. Ähnliche Fragen stellen sich bei den Themen Tracking oder Geolocation. Auch gängige Werbeformen wie Partnerprogramme oder Affiliate-Marketing sind streng genommen nicht datenschutzkonform.

Meine These lautet daher, dass die Nutzung von Internet und Mobilfunk in der Art und Weise wie sie die meisten von uns praktizieren, mit dem geltenden Datenschutzrecht nicht in Einklang steht und ohne Absenkung bzw. Modifikation des Datenschutzniveaus auch nicht in Einklang zu bringen ist.

Die aktuelle Krise des Datenschutzes, die auch von Notz und Leopold ansprechen, hat seine Ursache gerade darin, dass das Netz nur deshalb funktioniert, weil deutsche und europäische Vorgaben des Datenschutzes nicht eingehalten werden. Das geltende Datenschutzrecht funktioniert im Netz nicht und das Netz funktioniert nur deshalb, weil es das europäische Datenschutzrecht vielfach ignoriert. The Net routes around it. Dieses Datenschutzdilemma gilt es endlich aufzuzeigen und offen zu diskutieren.

Der richtige Ansatz kann deshalb nur darin bestehen, alles auf den Prüfstand zu stellen. Das bedeutet, dass man auch eine Absenkung des Datenschutzniveaus und eine punktuelle Preisgabe bisheriger Positionen in Betracht ziehen muss. Nur mit einem solchen Ansatz kann es uns gelingen, auch in Zukunft einen gewissen Datenschutz zu gewährleisten, der dann auch tatsächlich umgesetzt wird. Das würde nämlich – zwar nicht in normativer, allerdings in faktischer Hinsicht – sogar zu einer Verbesserung Datenschutzniveaus führen.

Es wird außerdem auf Dauer auch im Datenschutz keinen europäischen Sonderweg geben, sofern wir auch in Zukunft das Internet so nutzen wollen, wie wir es bisher tun und wie es die Amerikaner sicherlich auch weiterhin tun werden.

Der alle zwei Jahre erscheinende Tätigkeitsbericht des Bundesdatenschutzbeauftragten ist heute veröffentlicht worden. Das mehr als 200 Seiten starke Papier beschäftigt sich mit einer ganzen Fülle von Fragen. Zwei Themen, die im Netz viel diskutiert werden, habe ich mir näher angeschaut, nämlich das Cloud Computing und die Qualifizierung von IP-Adressen.

Cloud Computing wird von Peter Schaar als Auftragsdatenverarbeitung nach § 11 BDSG betrachtet und ist nach der Ansicht Schaars  in seiner Reinform – als ein offenes, globales Modell – mit dem geltenden Datenschutzrecht schwer in Einklang zu bringen. Unabhängig davon, sind die Anforderungen des § 11 BDSG, der eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung und die Einhaltung der dort genannten strengen Voraussetzungen erfordert, zumindest im Massengeschäft kaum zu erfüllen. Oder um es deutlicher zu sagen: Cloud Computing geht nach unserem Datenschutzrecht eigentlich nicht. Nachdem manche Landesdatenschutzbehörden auch das Hosting als Fall des § 11 BDSG betrachten, wäre auch dieses Massengeschäft foglich datenschutzwidrig. Siehe hierzu auch meinen Beitrag „Das Datenschutzproblem„.

Der Bundesdatenschutzbeauftragte befasst sich auch mit der Kontroverse um den Personenbezug von IP-Adressen. Schaar räumt zumindest ein, dass die durchgehende und absolute Qualifizierung von IP-Adressen als personenbezogene Daten nicht einhellige Ansicht ist. Er weist darauf hin, dass das BMI und das BSI IP-Adressen dann nicht als personenbezogen betrachten, wenn sie beim Anbieter einer Website als Nutzungsdaten anfallen. Nach dieser Ansicht dürfen sie deshalb dort beliebig lange gespeichert und sowohl für Statistik- als auch für Datensicherheitszwecke verwendet werden.

Das wird auch von einigen Gerichten so gesehen. An dieser Stelle muss man natürlich berücksichtigen, dass speziell das BMI ein Interesse an dieser Rechtsauslegung hat, weil damit natürlich auch eine Vorratsdatenspeicherung ein Stück weit überflüssig wird. Daten die unbeschränkt lang in zulässiger Weise gespeichert werden, stehen damit natürlich auch für einen Zugriff von Polizei- und Sicherheitsbehörden grundsätzlich zur Verfügung.

Die sehr instruktiven Vorträge auf dem heutigen LawCamp zum Datenschutz haben mir erneut vor Augen geführt, woraus das fortwährende Spannungsverhältnis zwischen Internetkommunikation einerseits und dem geltenden Datenschutzrecht – nach Lesart der Datenschutzbehörden – resultiert.

Das heutige Datenschutzrecht fußt, trotz zahlreicher Änderungen, letztlich auf Vorstellungen aus den 70’er und 80’er Jahren, die von Großrechnern in Rechenzentren geprägt sind. Heute geht es allerdings um die zeitgemäße Nutzung des Internets, die u.a. durch Social Media, durch Affiliate-Programme und Cloud-Computing bestimmt wird. Darauf sind die Vorschriften des BDSG nicht ausgerichtet, weshalb sie auch keine Antworten auf die hieraus resultierenden Fragestellungen bieten. Würde man das geltende Datenschutzrecht tatsächlich eng und konsequent anwenden, dann müsste Deutschland offline gehen. Würde man das Massenhosting den Anforderungen der Auftragsdatenverarbeitung nach § 11 BDSG unterwerfen, wie einige Datenschutzbehörden meinen, und jede Datenübermittlung an die USA tendenziell als Rechtsverstoß betrachten, wie der Düsseldorfer Kreis meint, dann würde es in Deutschland keine Websites mehr geben und Google und Facebook wären nicht verfügbar.

Wenn die Vertreterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) Ninja Marnau auf die Frage, ob Sie denn eine datenschutzkonforme Lösung für das Cloud Computing darstellen könne, ernsthaft antwortet, man würde daran arbeiten, was allerdings noch ca. drei Jahre dauert, dann ist damit eigentlich alles gesagt. Die Datenschützer haben keine Antwort auf die Frage, wie man das Internet tatsächlich zeitgemäß und datenschutzkonform nutzen kann. Sie scheitern zudem an ihren eigenen hohen Maßstäben, was die Inkonsequenz ihrer eigenen Positionen unterstreicht.

Man wird früher oder später an einem Reality-Check nicht vorbeikommen. Wollen wir eine konsequente Beibehaltung des bisherigen Datenschutzrechts und -niveaus oder wollen wir das Internet zeitgemäß nutzen? Beides gleichzeitig ist nicht denkbar, was offenbar aber noch nicht alle verstanden haben. Die derzeitige Situation ist dadurch gekennzeichnet, dass das Datenschutzrecht nicht fit für das Internetzeitalter ist und viele real existierenden Dienste, die von Millionen Bürgern und Unternehmen genutzt werden, nicht datenschutzkonform sind. Jedenfalls nicht, wenn man das Verständnis der berufsmäßigen Datenschützer zugrunde legt.

Das führt zur Entstehung von Post-Privacy-Bewegungen, die weit über das Ziel hinaus schießen, aber letztlich zu Recht den derzeitigen Zustand beklagen. Wir können uns also weiterhin etwas vormachen oder endlich eine offene Bestandsaufnahme durchführen.

Mit arbeitsrechtlichen Fragen beschäftigte ich mich hier ja eher selten, aber das Bundearbeitsgericht hat gestern eine höchst interessante Entscheidung (Urteil vom 23. März 2011, Az.: 10 AZR 562/09) mit datenschutzrechtlicher Komponente verkündet, die berichtenswert ist.

Das BAG geht davon aus, dass die Bestellung zum betrieblichen Datenschutzbeauftragten nach § 4 f Abs. 3 Satz 4 BDSG in entsprechender Anwendung von § 626 BGB aus wichtigem Grund widerrufen werden kann. Allerdings stellt nach Ansicht des Gerichts weder die Entscheidung des Arbeitgebers, zukünftig die Aufgaben eines Beauftragten für den Datenschutz durch einen externen Dritten wahrnehmen zu lassen, noch die Mitgliedschaft im Betriebsrat einen solchen wichtigen Grund dar.

Quelle: Pressemitteilung des BAG Nr. 22/11 vom 23.03.2011

Während man vor einigen Jahrzehnten die sog. informationelle Selbstbestimmung in Deutschland und Europa als (neues) zentrales Bürgerrecht definiert hat, formieren sich in letzter Zeit auch hierzulande die Post-Privacy-Propheten, deren Postulat lautet, dass wir die Kontrolle über unsere persönlichen Daten ohnehin längst verloren haben und dies nun auch endlich einsehen müssten. Sie nennen sich selbst die „datenschutzkritische Spackeria“ und hängen den Ideen von Marshall McLuhan an. Man gibt sich progressiv und bezeichnet die Datenschützer als konservativ und ideologisch.

Wer den Datenschutz als Ideologie betrachtet und gleichzeitig eine „Utopie“ als neues Modell verkaufen will, muss zumindest bei mir zunächst mit Skepsis rechnen.

Die Post-Privacy-Utopie leidet bei näherer Betrachtung auch unter einem kaum auflösbaren inneren Widerspruch, der sich sehr anschaulich anhand eines Interviews von Julia Schramm – sie ist eine der Protagonstinnen der Datenschutz-Spackos – verdeutlichen lässt. Gegenüber SPON erklärt Schramm wörtlich:

„Im Internet ist es eben vorbei mit der Privatsphäre, darüber sollte man sich klar sein. Schon der Begriff Datenschutz gaukelt eine falsche Sicherheit vor, die es praktisch nicht mehr gibt. Die einzige Alternative ist, anonym zu surfen.“

Hierin zeigt sich das Dilemma der Post-Privacy-Apologeten. Denn sie betrachten die Möglichkeit sich im Netz anonym zu bewegen als Selbstverständlichkeit, ohne zu erkennen, dass gerade dies bereits einen unmittelbaren Ausfluss des Rechts auf informationelle Selbstbestimmung darstellt. Wer für sich das Recht reklamiert, anonym zu surfen, hat damit bereits anerkannt, dass es ohne die informationelle Selbstbestimmung nicht geht. Wer sie nicht mehr will, der muss auch auf die Möglichkeit verzichten, anonym zu surfen. Der Vorbehalt von Anonymität und die Vorstellung von absoluter Transparenz aller Daten sind nicht miteinander in Einklang zu bringen. Die Vorstellung von einer Gesellschaft, die keine Privatssphäre mehr kennt, atmet den Geist des Totalitarismus. Transparenz bedeutet Kontrolle. Aus diesem Grund muss der freiheitlich-demokratische Staat, der vom Spannungsverhältnis Staat-Bürger geprägt ist, dafür sorgen, dass die öffentliche Gewalt transparent agiert, während dem Bürger die größtmögliche Intransparenz zuzubilligen ist. Wer den gläsernen und transparenten Bürger fordert, steht deshalb in der Tradition der Unfreiheit, wie sie den Überwachungsstaaten eigen ist.

In letzter Konsequenz geht es um die uralte Frage, was der Mensch ist und was ihn ausmacht. Eine Werteordnung, die sich zu unveräußerlichen Menschenrechten bekennt, erkennt damit zugleich an, dass jeder Mensch das Recht haben muss, sich als Individiuum in Freiheit selbst zu verwirklichen. Unser Grundgesetz bezeichnet dies als Menschenwürde. Deren oberste Prämisse lautet, dass der Mensch keiner Behandlung ausgesetzt werden darf, die ihn zum bloßen Objekt degradiert. Aber genau darauf läuft die Forderung der datenschutzkritischen Spackeria hinaus. Wie viele andere zum Scheitern verurteilte Utopien davor, verkennt die Post-Privacy-Ideologie das Wesen des Menschen.

Man muss den Verfechtern von Post-Privacy allerdings eine in weiten Teilen zutreffende Zustandsbeschreibung zugute halten. Die derzeit geltenden Regeln des Datenschutzes werden im Netz fast zwangsläufig gebrochen, weil eine konsequente und enge Anwendung unseres jetzigen Datenschutzregimes mit der üblichen und allgemein praktizierten Nutzung des Internets nicht in Einklang zu bringen ist. Die berufsmäßigen Datenschützer haben in ihrem Elfenbeinturm weitgehend den Bezug zur Realität verloren. Ihre Ansätze, wie die unterschiedslose und unbedingte Qualifizierung von IP-Adressen als personenbezogende Daten oder die Vorstellung vom Hosting als eine den Anforderungen des § 11 BDSG unterliegende Auftragsdatenverarbeitung, sind nicht internetkonform. Würden sich diese Vorstellungen durchsetzen, dann würde dies das Ende des Netzes wie wir es kennen, bedeuten.

Man sollte sich allerdings davor hüten, aus einer zunächst (in Teilen) zutreffenden Zustandsbeschreibung vorschnell die falschen Schlussfolgerungen zu ziehen. Die Lösung kann nicht in einer Preisgabe des Datenschutzes bestehen, sondern nur in seiner Neudefinition. Das Recht des Individuums sich frei entfalten zu können, muss dabei erhalten bleiben. Auch denjenigen, die das Internet überhaupt nicht nutzen wollen und denjenigen, die es nur absolut anonym nutzen wollen und es ablehnen, irgendwelche personenbezogenen Daten, sei es bei Facebook oder anderso, im Netz zu hinterlassen, darf man keine Ordnung aufzwingen, die keine Privatheit mehr kennt. Ihr Recht, in Ruhe gelassen zu werden und sich so zu entfalten, wie sie es sich selbt vorstellen, ist zu respektieren und muss um jeden Preis geschützt werden. Und zu diesem Schutz ist der Gesetzgeber berufen.

Die Forderung der Datenschutz-Spackeria würde demgegenüber den Weg hin zu einer informationellen Fremdbestimmung ebnen. Sie ist deshalb Ausfluss einer illiberalen Geisteshaltung, der es entgegen zu treten gilt.

Heise berichtet über einen aktuellen Fall in dem der niedersächsische Datenschutzbeauftragte den Einsatz des Werbeprogramms Google AdSense, des Amazon Partnerprogramms und des IVW-Pixels als datenschutzwidrig beanstandet hat und zudem das Webhosting als Auftragsdatenverarbeitung (i.S.v. § 11 BDSG) qualifiziert. Dem Betreiber von zwei Internetforen wurde aufgegeben, die Übermittlung personenbezogener Daten über die Dienste Google AdSense, Amazon Einzeltitel-Links sowie IVW-Box einzustellen und die Anwendungen aus dem Quelltext zu entfernen. Aus dem Schreiben des Landesbeauftragten für den Datenschutz – das mir vorliegt – ergibt sich zudem, dass die Datenschutzbehörde der Ansicht ist, beim Hosting würde eine sog. Auftragsdatenverabeitung nach § 11 BDSG stattfinden. Der Forenbetreiber wurde aufgefordert, die Zulässigkeit der Auftragsdatenverarbeitung durch seinen Host-Provider (Host Europe) nachzuweisen.

Die Datenschützer schießen  mit solchen Maßnahmen sehr weit über das Ziel hinaus. Die konsequente Schlussfolgerung aus der Haltung des niedersächsischen Datenschutzbeauftragten ist letztlich die, dass sämtliche Websites, die Werbung mit Hilfe von Partnerprogrammen bzw. des Affiliate-Marketing treiben, gegen das Datenschutzrecht verstoßen.

Wenn man zudem das Hosting, wie es der Landesdatenschutzbeauftragte tut, als Auftragsdatenverarbeitung im Sinne von § 11 BDSG begreift, müssten damit eigentlich fast alle deutschen Websites vom Netz genommen werden und Massenhoster wie 1&1 und Strato könnten ihr Geschäft sofort einstellen.  Denn wenn die Rechtsansicht der Datenschutzbehörde zutreffend wäre, würde dies bedeuten, dass  jeder Webseitenbetreiber mit seinem Host-Provider eine schriftliche Vereinbarung über eine Auftragsdatenverarbeitung abschließen müsste, die die äußerst strengen Anforderungen von § 11 Abs. 2 BDSG erfüllt. Die Haltung des niedersächsischen Landesbeauftragten kann man daher getrost als aberwitzig bezeichnen.

Für mich ist das Vorgehen der Datenschützer aber auch ein weiterer Beleg dafür, dass das deutsche und europäische Datenschutzrecht nach wie vor den Anforderungen des Internetzeitalters nicht gewachsen ist und die Datenschutzbehörden dieses Problem durch eine exzessive Auslegung datenschutzrechtlicher Bestimmungen noch zusätzlich befeuern.

Das ist auch deshalb fragwürdig, weil die Datenschutzbehörden oft genug die von ihnen gestellten Anforderungen selbst nicht erfüllen. Das habe ich hier vor einiger Zeit am Beispiel des Hamburger Datenschutzbeauftragten schon dargestellt.

Für den hier agierenden niedersächsischen Datenschutzbeauftragten gilt nichts anderes, wie ein Blick in seine eigene Datenschutzerklärung zeigt. Dort werden zunächst mit dem TDG und dem MDStV gesetzliche Regelungen genannt, die es seit Jahren nicht mehr gibt.

Die Datenschutzerklärung genügt aber auch den Vorgaben der geltenden gesetzlichen Regelungen des § 13 TMG nicht. Der Datenschutzbeauftragte informiert nicht ausreichend über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten. Insbesondere wird nicht erklärt, welche Daten beim Aufruf des Servers „lfd.niedersachsen.de“ genau erhoben werden. Wenn Daten, wie angeben, in einer Protokolldatei gespeichert werden, dann dürfte es sich hierbei um nichts anderes als die Logdateien des Webservers handeln. Und dort werden dann gerade auch die IP-Adressen der Anfragenden erfasst. Man muss also, ausgehend von der eigenen Datenschutzerklärung des Datenschutzbeauftragten, annehmen, dass der Webserver „lfd.niedersachsen.de“ IP-Adressen speichert und zwar für einen Zeitraum von zwei Monaten.

In der Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten heißt es ferner, dass alle allgemein zugänglichen Seiten benutzt werden können, ohne dass Cookies gesetzt werden. Diese Aussage ist schlicht falsch. Bereits beim Aufruf der Privacy-Seite setzt der Server des Landesbeauftragten ein Cookie, wie der nachfolgende Screenshot zeigt:

Die Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten ist im Ergebnis also veraltet, unvollständig und falsch. Belegt wird dadurch einmal mehr, dass die Datenschutzbehörden, die hohen Anforderungen, die sie anderen abverlangen, selbst nicht erfüllen.

Ein Artikel des Heise-Newstickers hat mich an ein Thema erinnert, zu dem ich vor Weihnachten schon mal etwas bloggen wollte. Es geht um das geplante Gesetz zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht („Rote-Linie-Gesetz“), das offenbar derzeit in den Ministerien abgestimmt wird. Hiermit wird sich der zweite Teil dieses Beitrags befassen, aber zuerst noch ein paar Worte  zu den Aussagen von Michael Wettengel, Mitglied der IT-Steuerungsgruppe des Bundes und Zentralabteilungsleiter im Kanzleramt. Wettengel plädiert dafür, sich stärker mit den ethischen und moralischen Herausforderungen des Internets zu beschäftigen und meint damit sicherlich nichts anderes als eine weiterreichende Netzregulierung. Es folgt dann leider aber nur die Wiederholung der netzpolitischen Plattitüde schlechthin „Das Internet darf kein rechtsfreier Raum sein“ sowie eine Kritik an der Verwendung von Pseudonymen im Netz.

Das von Wettengel ebenfalls angesprochene sog. „Rote-Linie-Gesetz“ will u.a. einen neuen § 38b in das BDSG einführen, der lautet:

§ 38b Unzulässige Veröffentlichungen in Telemedien

Die Veröffentlichung von personenbezogenen Daten in Telemedien durch Stellen im Sinne des § 1 Absatz 2, wodurch ein besonders schwerer Eingriff in das Persönlichkeitsrecht des Betroffenen herbeigeführt wird, ist unzulässig, soweit nicht eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene ausdrücklich und gesondert eingewilligt hat oder ein überwiegendes schutzwürdiges Interesse an der Veröffentlichung besteht. Ein besonders schwerer Eingriff in das Persönlichkeitsrecht des Betroffenen liegt insbesondere vor, wenn in Telemedien personenbezogene Daten veröffentlicht werden,

1. die geschäftsmäßig gezielt zusammengetragen, gespeichert und gegebenenfalls unter Hinzuspeicherung weiterer Daten ausgewertet wurden und die dadurch ein umfangreiches Persönlichkeits- oder Bewegungsprofil des Betroffenen ergeben können oder

2. die den Betroffenen in ehrverletzender Weise beschreiben oder abbilden.

In systematischer Hinsicht kann man einwenden, dass diese Vorschrift nicht in das BDSG gehört, weil die datenschutzrechtlichen Regelungen zu Telemedien entsprechend des bereichsspezifischen Konzepts des deutschen Datenschutzrechts bislang im TMG angesiedelt waren. Außerdem handelt es sich im Kern nicht um eine datenschutzrechtliche Regelung, sondern um eine solche des Zivil- bzw. Deliktsrechts. Der Schutz der Ehre und des Persönlichkeitsrechts ist keine originäre Aufgabe des Datenschutzrechts.

Sachlich stellt sich die Frage des Regelungsbedarfs. Schwerwiegende Eingriffe in das Persönlichkeitsrecht sind bereits nach geltendem Recht unzulässig. Inhaltlich bietet der Entwurf eines § 38b BDSG deshalb keinerlei Neuerungen. Er schließt weder eine Regelungslücke, noch löst er eine Streitfrage auf.

Vielleicht sollte man irgendwann einfach damit anfangen, sich den regelungsbedürftigen Aspekten zuzuwenden.

Der Hamburger Datenschutzbeauftragte hat heute seine Website bei „hamburg.de“ vom Netz genommen und reagiert damit offenbar auf Kritik, die ihren Ausgang in diesem Blog hatte. Es erstaunt mich dann doch, dass ein Blogbeitrag von mir solche Wellen schlägt.