Internet-Law

Ein Leser meines Blogs hat gestern in einem Kommentar geschrieben, dass die unter „datenschutz-hamburg.de“ aufrufbare Website des Hamburger Datenschutzbeauftragten, der derzeit gegen Google Analytics vorgeht, selbst Tracking-Technologie einsetzt und dort kräftig getrackt würde.

Diese Aussage war zumindest insoweit nachvollziehbar, als das Firefox Plug-In „Counterpixel“ anzeigt, dass dort das IVW-Pixel zum Einsatz kommt. Dies vermutlich deshalb, weil der Auftritt des Datenschutzbeauftragten Teil von „hamburg.de“ ist und dort das Statistik-Tool der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW) eingesetzt wird, das übrigens von vielen großen deutschen Websites genutzt wird.

Das Programm der IVW ist freilich, wie Google Analytics auch, ein Tracking-Tool, das Daten über die Besucher der Website sammelt und an die IVW weiterleitet, u.a. auch die IP-Adressen der Seitenbesucher. Und wenn man einem Artikel von golem.de glauben darf, werden auch von der IVW IP-Adressen vollständig, ohne Anonymisierung erfasst und gespeichert, weshalb hiergegen grundsätzlich dieselben datenschutzrechtlichen Bedenken bestehen müssen wie gegen Analytics.

Wenn Datenschutzbehörden schon offensiv die Auffassung vertreten, dass Tracking-Tools datenschutzrechtlich bedenklich sind, dann sollten sie sie zumindest nicht auf ihren eigenen Websites benutzen. Es zeigt sich damit aber auch, dass ein datenschutzkonformer Webauftritt gar nicht so einfach ist, auch nicht für einen Landesdatenschutzbeauftragten.

Die Diskussion kann ohnehin nicht auf Google beschränkt bleiben, sondern muss sich auf Tracking-Technologien insgesamt erstrecken.

Update:
Wenn man die Datenschutzerklärung zum Internetangebot des hanseatischen Datenschutzbeauftragten und zu „hamburg.de“ durchliest, fällt auf, dass der „IVW-Pixel“ nicht erwähnt wird, während stattdessen darauf hingewiesen wird, dass IP-Adressen an einen anderen Statistikanbieter (Sitestat) übermittelt werden. Dem Programm Sitestat des Anbieters Nedstat bescheinigt die Xamit-Studie allerdings ebenfalls, dass eine legale Nutzung nach deutschem Datenschutzrecht nicht möglich ist. Dieser Hinweis in der Datenschutzerklärung könnte allerdings veraltet sein, nachdem dort sogar auf die Verwendung von Facebook Social Plugins hingewiesen wird. Diese hat „hamburg.de“ allerdings nach kurzer Zeit wegen datenschutzrechtlicher Bedenken wieder runter genommen.

Wir sehen hier ein schönes Beispiel dafür, wie sich der Datenschutz selbst ad absurdum führt.

Der Hamburger Datenschutzbeauftragte Johannes Caspar vertritt weiterhin die Ansicht, dass das Statistik-Tool Google Analytics nicht den Anforderungen des deutschen Datenschutzrechts genügt. Casper gibt an, er habe deshalb die Gespräche mit Google abgebrochen und wolle Bußgelder gegen Unternehmen verhängen, die Analytics weiterhin einsetzen und erwäge auch einen Musterprozess.

Google verweist demgegenüber darauf, dass man speziell nach den jüngsten Änderungen, also der Einführung des sog. IP-Masking und von Browser-Erweiterungen, die die Übermittlung von IP-Adressen an Google unterbinden sollen, den Forderungen des Düsseldorfer Kreises nachgekommen sei und man im übrigen auch die Rückmeldung von europäischen Datenschutzstellen hätte, dass Google Analytics den Vorgaben des EU-Datenschutzrechts entsprechen würde.

Dass der Hamburger Datenschutzbeauftragte die Ansicht aller deutschen Landesdatenschutzbehörden wiedergibt, darf bezweifelt werden. Mir liegt ein Schreiben des Bayerischen Landesamts für Datenschutzaufsicht aus dem Dezember 2010 vor, in dem bestätigt wird, dass mit dem Einsatz des IP-Masking eine der wesentlichen Forderungen der Datenschutzafsicht erfüllt wird und, dass man in diesem Fall gegen den Einsatz von Google Analytics keine Einwände mehr habe, sofern auf den Einsatz hingewiesen wird (§ 13 Abs. 1 TMG), dem Nutzer ein Widerspruchsrecht gegen die Erstellung von pseudonymen Nutzerprofilen eingeräumt wird (§ 15 Abs. 3 TMG) und hierauf ebenfalls hingewiesen wird.

Ich halte diese Einschätzung der bayerischen Aufsichtsbehörde auch noch für teilweise unzutreffend, weil beim Einsatz des IP-Masking keine pseudonymisierten Nutzerprofile erstellt werden, weshalb es bereits an den sachlichen Voraussetzungen für eine Anwendung von § 15 Abs. 3 TMG fehlt. Das Schreiben des Bayerischen Landesamts belegt aber andererseits, dass man dort – anders als im Hamburg – davon ausgeht, dass mithilfe der zusätzlichen Einbindung des Codes für das IP-Masking eine datenschutzkonforme Nutzung von Analytics möglich ist.

Es muss im übrigen darauf hingewiesen werden, dass weder der hanseatische Datenschutzbeauftragte noch der sog. Düsseldorfer Kreis über eine Deutungshoheit zum Datenschutz verfügt. Dort werden auch nur Rechtsansichten vertreten, die man nicht teilen muss. Letztlich ist es Sache der Gerichte, die Streitfragen zu klären.

Die Diskussion zeigt allerdings, dass das Datenschutzrecht dringend eine konkrete Regelung für Tracking-Technologien benötigt, damit sowohl die zahlreichen Nutzer derartiger Programme als auch deren Anbieter Rechtssicherheit erlangen. Google ist außerdem nicht der einzige Anbieter von Tracking-Technologie, stellt aber derzeit im Bereich des Datenschutzes bekanntlich so eine Art Prügelknabel dar.

Bei der Lektüre mancher Äußerungen von Politikern stellt sich mir die Frage, ob der Betreffende gänzlich inkompetent ist oder schlicht ein Demagoge. Das ist ein bisschen wie die Wahl zwischen Not und Elend. Eine aktuelle Äußerung von Volker Kauder (CDU) wirft genau diese Frage auf.

In einem Artikel der Berliner Zeitung heißt es:

Unions-Fraktionschef Volker Kauder forderte in der Bild am Sonntag, Internetnutzer müssten ein Auskunftsrecht auf die über sie gespeicherten Daten erhalten.

Diesen gesetzlichen Auskunftsanspruch gibt es allerdings längst. Herr Kauder sollte einfach § 34 BDSG lesen.

Welche Annahme ist nun bedenklicher, die der Inkompetenz oder die der Lüge?

Die zuständigen Ausschüssen des Bundesrats fordern in zahlreichen Punkten eine Nachbesserung des neuen Entwurfs der Bundesregierung für ein Gesetz zur Regelung des Beschäftigtendatenschutzes.

Der Bundesrat bedauert zunächst, dass die Regelung nicht im Rahmen eines eigenständigen Gesetzes erfolgt, sondern in das Bundesdatenschutzgesetz integriert werden soll. Nachdem der Datenschutz bei uns auch ansonsten einem sektorspezifischen Konzept folgt und es gerade kein umfassendes Datenschutzgesetz gibt, entbehrt dieser Einwand nicht einer gewissen Berechtigung.

Inhaltlich kritisieren die Ausschüsse eine ganze Reihe der geplanten Einzelregelungen. Der Bundesrat fordert u.a., dass die in § 32f BDSG-E enthaltenen Regelungen über die Videoüberwachung zum Zweck der Sicherung bzw. Qualitätskontrolle eingeschränkt und um das ausdrückliche Verbot ergänzt wird, die erhobenen Daten zur Verhaltens- oder Leistungskontrolle zu nutzen.

Außerdem hält der Bundesrat die Regelung des Beschwerderechts in § 32l Absatz 4 BDSG-E für europrechtswidrig. Den Beschäftigten müsse das Recht eingeräumt werden, sich unmittelbar an die für die Datenschutzkontrolle zuständige Behörde wenden zu können.

Schließlich hält es die Länderkammer auch für sinnvoll, weitere Regelungen über die Zulässigkeit und den Umfang der  privaten Nutzung von TK-Diensten zu normieren. Dem Arbeitgeber sollte nach Ansicht des Bundesrats die gesetzliche Verpflichtung auferlegt werden, in seinem Betrieb verbindliche Regelungen über Zulässigkeit und Umfang der privaten Nutzung zu treffen, um Streitigkeiten in diesem Bereich von vornherein zu vermeiden.

Das Deutschlandradio Kultur hat mich gestern zu dem Konflikt Niggemeier vs. Neven DuMont interviewt und auch nach dem dahinterstehenden Spannungsverhältnis von Meinungsfreiheit und Datenschutz gefragt. Das Interview ist als MP3 verfügbar.

Zu diesem Themenkreis passt auch der Vorschlag eines Gesetzes zur Regulierung personenbezogener Internetdatenveröffentlichungen des Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein (ULD).

Vor einigen Tagen habe ich über das Spannungsverhältnis von Datenschutz und Meinungsfreiheit gebloggt. Heute hat das Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein (ULD) ein Gesetz zur Regulierung personenbezogener Internetdatenveröffentlichungen vorgeschlagen, durch das als neue Form der Datenverarbeitung das „Veröffentlichen“ eingeführt werden soll. Der Entwurf des ULD sieht hierzu u.a. die Schaffung einer neuen Vorschrift (§ 29a BDSG) vor, die wie folgt lauten soll:

Veröffentlichung

(1) Das Veröffentlichen personenbezogener Daten in Telemedien ist zulässig, wenn dies dem Zweck dient, eine Meinung frei zu äußern und zu verbreiten und kein Grund zu der Annahme besteht, dass das überwiegende schutzwürdige Interesse der Betroffene am Ausschluss der Veröffentlichung überwiegt.

(2) Ein schutzwürdiges Interesse besteht bei besonderen Arten personenbezogener Daten nach § 3 Abs. 9, wenn nicht im Einzelfall das Interesse an der Veröffentlichung offensichtlich überwiegt.

(3) Ein schutzwürdiges Interesse besteht, wenn der Betroffene gegenüber der verantwortlichen Stelle widerspricht, es sei denn, die verantwortliche Stelle legt dem Betroffenen gegenüber das überwiegende Interesse an einer Veröffentlichung dar. Die Darlegung nach Satz 1 kann in der Form des vom Betroffenen erklärten Widerspruchs oder schriftlich erfolgen.

(4) Betroffene können ihre Datenschutzrechte gegenüber dem verantwortlichen Telemedien-Diensteanbieter elektronisch an die nach § 5 Absatz 1 Nr. 2 Telemediengesetz zu nennende Stelle richten. Wird die Beschwerde nicht unverzüglich beantwortet, so verletzt die weitere Veröffentlichung schutzwürdige Betroffeneninteressen. Kann die verantwortliche Stelle nicht die Richtigkeit der Daten nachweisen, so tritt neben die Löschungs- und Sperransprüche nach § 35 ein Anspruch auf Hinzufügung einer eigenen Darstellung von angemessenem Umfang. § 57 Abs. 3 Rundfunkstaatsvertrag zu Gegendarstellungen ist sinngemäß anzuwenden.

(5) Die Veröffentlichung von personenbezogenen Daten aus allgemein zugänglichen Quellen hat zu unterbleiben, wenn der entgegen stehende Wille des Betroffenen aus dieser Quelle oder auf andere Weise eindeutig erkennbar ist. Der Empfänger von veröffentlichten Daten hat sicherzustellen, dass Kennzeichnungen bei der Übernahme übernommen werden.

(6) Beabsichtigt ein Telemedien-Diensteanbieter die Veröffentlichung von personenbezogenen Daten zu mehr als 1000 oder von einer unbestimmten Zahl von Personen, so hat er dies auf einer beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eingerichteten Internetseite vorher unter Nennung der Datenart und der Quelle bekanntzugeben.

(7) Verantwortliche Stellen, die personenbezogene Daten veröffentlichen, können diese mit einem Löschdatum versehen. Werden diese Daten von einer anderen verantwortlichen Stelle übernommen, so ist bei der weiteren Veröffentlichung und der sonstigen Verarbeitung das jeweilige Löschdatum zu berücksichtigen.

Der Grundansatz dieser Idee ist zwar zu begrüßen, die inhaltliche Ausgestaltung erscheint aber nicht angemessen und gerade auch im Lichte von Art. 5 GG fragwürdig. Denn diese Regelung beinhaltet in seinem Absatz 3 ein Widerspruchsrecht im Einzelfall. Das bedeutet, dass jederman zunächst Veröffentlichungen zu seiner Person und damit auch seiner Meinung widersprechen kann und die verantwortliche Stelle dann im Einzelfall gegenüber dem Betroffenen reagieren muss und ein überwiegendes Interesse darzulegen hat.

Ein solches Prozedere würde Veröffentlichungen mit Personenbezug erheblich erschweren und sogar die Gefahr begründen, dass man z.B. als Blogger von solchen Veröffentlichungen absieht, weil einem das Risiko eines Widerspruchs und der damit einhergehende Aufwand zu hoch ist. Ich halte diesen Vorschlag daher nicht mit Art. 5 GG für vereinbar. Die Abwägung ist hier deutlich zu Lasten der Meinungsfreiheit ausgestaltet. M.E. sollte man die Veröffentlichung von personenbezogenen Daten die im Zuge einer Berichterstattung oder öffentlichen Kundgabe einer Meinung erfolgt, überhaupt nicht an den Vorgaben des BDSG messen, sondern allein im Rahmen der Abwägung zwischen Persönlichkeitsrecht und Meinungsfreiheit.

Das Spannungsverhältnis von Datenschutz und Kommunikationsgrundrechten gehört zu den ungelösten aber zugleich wichtigsten internetrechtlichen Themen überhaupt. Der geschätzte Kollege Thorsten Feldmann wird kommende Woche in Berlin beim DAV-Forum Datenschutz zum Thema „Datenschutz und Meinungsfreiheit“ referieren. Das Abstract seines Vortrags hat er bereits vorab ins Netz gestellt.

Der Datenschutz, und nicht nur der, wird immer häufiger als Vorwand dafür benutzt, unliebsame Meinungsäußerungen bzw. Veröffentlichungen zu unterbinden. Das Datenschutzrecht regelt dieses Spannungsverhältnis bislang nicht zufriedenstellend. Das sog. Medienprivileg in § 41 BDSG ist inhaltlich unzureichend und erfasst zudem Onlineinhalte nicht.

In diesem Zusammenhang muss erneut darauf hingewiesen werden, dass Art. 9 der Datenschutzrichtlinie (95/46/EG) verlangt, für die Datenverarbeitung zu journalistischen, künstlerischen und literarischen Zwecken Ausnahmen vorzusehen, um das Recht auf Privatsphäre mit dem der Meinungsfreiheit in Einklang zu bringen.

Diese Vorgabe ist bislang nicht (ausreichend) in deutsches Recht umgesetzt worden. Man wird unter die journalistische Datenverarbeitung auch den nichtprofessionellen Onlinejournalismus fassen müssen, wie wir ihn beispielsweise in Blogs finden, so dass bei richtlinienkonformer Auslegeung des deutschen Rechts insoweit ein Medienprivileg bestehen müsste.

Aus meiner Sicht wäre es ganz allgemein sinnvoll, Meinungsäußerungen und die Berichterstattung explizit vom Anwendungsbereich des Datenschutzrechts auszunehmen.

Das Bundesdatenschutzgesetz sieht in § 34 vor, dass jeder von der verantwortlichen Stelle (§ 3 Abs. 7 BDSG) Auskunft über die zu seiner Person gespeicherten Daten verlangen kann. Von diesem Auskunftsanspruch sind bei Auskunfteien wie der SCHUFA, Bürgel, Creditreform oder Infoscore auch die sog. Scoringwerte umfasst. Das sind Wahrscheinlichkeitswerte die eine Einschätzung der Bonität ermöglichen sollen. Insoweit muss auch über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form informiert werden.

Die Auskunft ist kostenfrei. Wenn die Daten wie bei der SCHUFA zum Zwecke der Übermittlung gespeichert werden, kann die Auskunft einmal je Kalenderjahr in Textform verlangt werden (§ 34 Abs. 8 BDSG).

Man kann die SCHUFA also jährlichzur Auskunft auffordern, was durchaus sinnvoll erscheint, denn SCHUFA-Daten sind häufig falsch, wie Stiftung Warentest ermittelt hat.

Der Bundesdatenschutzbeauftragte hat für diese Selbstauskunft ein Formular entwickelt, das die Sache ungemein erleichtert.

Das ZDF-Magazins WISO berichtet darüber, dass Einwohnermeldeämter die Meldedaten ihrer Bürger an Firmen weitergeben und damit auch noch Geld verdienen.  Was der Bundesdatenschutzbeauftragte Peter Schaar als Skandal bezeichnet, ist leider in einigen Bundesländern völlig legal. Hierauf hatte ich unlängst bereits hingewiesen.

Beispielsweise nach den Vorschriften des bayerischen (Art. 32 Abs. 3 MeldeG) oder baden-württembergischen (§ 34 Abs. 3 MG) Melderechts sind die Gemeinden nämlich berechtigt, Meldedaten volljähriger Bürger an Adressbuchverlage zu übermitteln. Die Bürger müssen dem ausdrücklich widersprechen, wenn sie das verhindern wollen. Das Melderecht anderer Bundesländer verlangt zumindest eine Einwilligung des betroffenen Bürgers.

Der eigentliche Skandal besteht also in solchen gesetzlichen Regelungen, die ein Zugeständnis gegenüber den Lobbyisten der Adresshändler darstellen.

Mit der Frage, ob der Like-Button von Facebook datenschutzkonform auf einer externen Website eingebunden werden kann, beschäftigt sich ein Aufsatz von Michael Marc Maisch (AnwZert ITR 19/2010, Anm. 2), den es gerade als kostenlose Leseprobe (vermutlich nur für kurze Zeit) gibt.

Maisch stellt klar, dass derjenige, der den Like-Button auf seine Website einbindet, verantwortliche Stelle im datenschutzrechtlichen Sinne des § 13 TMG ist. Weil, wie Maisch es ausdrückt, der Like-Button eine intransparente „Black-Box“ darstellt, kann der Betreiber der Website nicht über Art, Umfang und Zwecke der Datenverarbeitung aufklären oder gemäß § 13 Abs. 7 TMG i.V.m. § 34 BDSG Auskunft erteilen, weil die Datenübermittlung und Datenverarbeitung letztlich ja durch Facebook erfolgt. Maisch rät daher von der Einbindung des Like-Buttons ab. Das entspricht im Ergebnis auch meiner Einschätzung.