Internet-Law

Nach einer Entscheidung des EuGH, über die ich berichtet habe, erbringen die Datenschutzaufsichtsbehörden der Länder für den nichtöffentlichen Bereich ihre Aufgaben nicht „in völliger Unabhängigkeit“. Damit sind die Vorgaben der Datenschutzrichtlinie nicht eingehalten worden. Die u.a. für die Datenschutzkontrolle bei Unternehmen zuständigen Stellen müssen nunmehr aus der behördlichen Hierarchie ausgegliedert werden.

Eine Bund-Länder-Arbeitsgruppe die entsprechende Modelle erarbeiten soll, nimmt nach Presseberichten in dieser Woche die Beratungen auf.

Unter dem Titel „Rechtliche Einordnung von Webcams“ geht Ann-Karina Wrede in der aktuellen Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD 2010, 225) in einem lesenswerten Aufsatz der Frage nach, ob der Einsatz von Webcams im öffentlichen Raum, also zum Beispiel auf öffentlichen Plätzen oder an touristisch interessanten Orten, gegen Rechtsvorschriften verstoßen kann. Die Autorin befasst sich dabei mit den Vorschriften des Bundesdatenschutzgesetzes zur Videoüberwachung (§ 6b BDSG) und mit den Normen zum Schutz des Rechts am eigenen Bild (§§ 22, 23 KUG).

Sofern die Webcam nicht der Beobachtung dient, sondern dazu, Übersichtsaufnahmen von einem Ort anzufertigen, ist nach Ansicht von Wrede ein Personenbezug nicht gewollt und beabsichtigt, weshalb die Vorschrift des § 6b BDSG nicht zur Anwendung gelangt. Denn eine Videoüberwachung im Sinne des Bundesdatenschutzgesetzes liegt nur dann vor, wenn die Tätigkeit des Betreibers der Webcam auch darauf gerichtet ist, Geschehnisse und Personen zu überwachen.

Demgegenüber greift der Schutz des KUG schon dann ein, wenn Personen erkennbar und identifizierbar sind. Die Autorin geht insoweit allerdings davon aus, dass die Personen in aller Regel nur „Beiwerk“ einer Örtlichkeit sind und beiläufig erfasst werden, weshalb die Gestattung nach § 23 Abs. 1 Nr. 2 KUG eingreifen kann. Allerdings rät Wrede dazu, die Webcam, die öffentliche Plätze erfasst, so einzustellen bzw. aufzustellen, dass Personen nicht identifiziert werden können. Sobald eine (deutliche) Erkennbarkeit von Personen möglich ist, wird nämlich in deren Rechte eingegriffen.

Update: Der Aufsatz ist auch im Volltext online

Der Hamburger Senat fordert, dass in das Bundesdatenschutzgesetz eine spezielle Regelung für Dienste wie Google Street View aufgenommen wird.

Diese Regelung soll Google u.a. verpflichten, Gesichter und Kfz-Kennzeichen unkenntlich zu machen, bevor die Bilder ins Netz gestellt werden. Außerdem soll Google verpflichtet werden, einen Monat vor dem systematischen Abfilmen den Datenschutzbeauftragten und die Öffentlichkeit zu informieren. Ferner sollen Hauseigentümer und Mieter ein uneingeschränktes Widerspruchsrecht gegen die Abbildung ihrer Gebäude erhalten. Verstöße sollen mit Bußgeld von bis zu 50.000 € belegt werden.

Es setzt sich offenbar langsam die Erkenntnis durch, dass es mit der von Datenschützern progagierten Unvereinbarkeit von Street View mit geltendem Datenschutzrecht doch nicht so weit her ist und man wohl neue, schärfere gesetzliche Regelungen benötigt, um Dienste wie Street View einzubremsen. Damit ist die Frage der Sinnhaftigkeit derartiger Regelungen aber noch längst nicht beantwortet.

Quelle: Juris

Der Bundesdatenschutzbeauftragte hat, wie es in einer Pressemitteilung heißt, über eine andere europäische Datenschutzbehörde erfahren, dass Google-Street-View-Fahrzeuge auch mit einem Scanner für WLAN-Netze ausgestattet sind. Peter Schaar zeigte sich „entsetzt“ und forderte Google auf, die „rechtswidrig erhobenen“ Daten zu löschen.  Das Thema hat zu einer breiten Medienberichterstattung von Bild bis FAZ geführt.

In einem Beitrag für Telemedicus kritisiert Adrian Schneider die Reaktion der Datenschützer und vertritt die Ansicht, dass es nur dann zu einer Erhebung personenbezogener Daten kommt, wenn der Betreiber des W-Lans dem Netz seinen eigenen Namen gibt.

Die Frage lautet stets, ob die Daten die erhoben werden einer Person zugeordenet werden können und damit Personenbezug aufweisen. Was Schneider allerdings nicht anspricht, ist die Möglichkeit, die Daten des W-Lans (Mac-Adresse und SSID) mit der postalischen Adresse (Ort, Straße, Hausnummer) zu verknüpfen, wodurch sich in vielen Fällen erst durch die Kombination ein Personenbezug ergibt. Google hat sich vermutlich auch deshalb beeilt zu versichern, dass die erhobenen W-Lan Daten gerade nicht für Street View benutzt werden. Andererseits legt Google einen immer größeren Daten-Pool an, von dem keiner genau weiß, wie die Daten benutzt und verknüpft werden.

Das Problem ist hierbei auch die sehr weite Definition des Rechtsbegriffs der personenbezogenen Daten. Die Datenschutzrichtlinie sieht den erforderlichen Personenbezug nach ihrem Art. 2 a) bereits dann als gegeben an, wenn eine Person direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen. Und das ist der Grund dafür, dass die Kombination der oben genannten Informationen zumindest in einem Teil der Fälle eben doch eine Person bestimmbar macht.

Man kann der Rechtsansicht der Datenschützer meines Erachtens deshalb nicht wirklich widersprechen, aber man kann sich an der geäußerten Empörung stören. Denn das europäische Datenschutzrecht ist nicht internetkonform und es muss dringend ergänzt werden. Im Zuge dessen sollte eine öffentliche Diskussion darüber geführt werden, wie man den Datenschutz einerseits und die Funktionsfähigkeit des Netzes und damit auch die Grundrechte auf Meinungs- und Informationsfreiheit andererseits in einen sachgerechten Ausgleich bringt.

Nach einem Urteil des Landgerichts Köln vom 17.03.2010(Az.: 28 O 612/09) ist eine Veröffentlichung von Schuldnerdaten zu rechtskräftig titulierten Forderungen im Internet im Rahmen einer sog. Titelbörse, auf der Vollstreckungstitiel gehandelt werden, zulässig.

Das Landgericht hat einen Unterlassungsanspruch verneint und insbesondere auch keinen Verstoß gegen Vorschriften des Datenschutzrechts erkennen können. Nach Ansicht des Landgerichts Köln ist die Datenübermittlung nach § 29 Abs. 2 Nr. 1 und 2 BDSG zulässig.

Zum 01.04.2010 treten einige Änderungen des Bundesdatenschutzgesetzes in Kraft. Telemedicus bietet eine gute und kritische Übersicht zu den Neureglungen.

Neu sind u.a. die Vorschriften von § 28a BDSG (Datenübermittlung an Auskunfteien) und § 28b BDSG (Scoring).  Auch die Auskunftsrechte der von einer Verarbeitung personenbezogener Daten Betroffener sind erweitert worden. § 34 Abs. 2 BDSG sieht nunmehr vor, dass im Falle eines sog. Scoring Auskunftsansprüche über die in den letzten sechs Monaten erhobenen Daten bestehen und die verantwortliche Stelle zudem verpflichtet ist, die Bedeutung der Wahrscheinlichkeitswerte in allgemein verständlicher Form zu erläutern. Auf solche Erläuterungen darf man wirklich gespannt sein.

Nach zwei Urteilen des Landgerichts Berlin vom 18.11.2009 dürfen Teilnahmecoupons für Gewinnspiele keine Erklärungen enthalten, durch die die Teilnehmer gleichzeitig einer Werbung per Telefon oder E-Mail zustimmen.

Das Gericht hat offenbar Verstöße gegen das UWG und das Bundesdatenschutzgesetz angenommen und klargestellt, dass Einwilligungsklauseln zur Weitergabe persönlicher Daten nur zulässig sein können, wenn sie vom übrigen Text deutlich abgehoben sind. Sie müssen außerdem klar beschreiben, von wem die Daten für welche Zwecke verarbeitet und genutzt werden. Telefon- und E-Mail-Werbung ist nur dann statthaft, wenn der Kunde eine gesonderte Einwilligungserklärung unterschreibt oder durch Ankreuzen eines Kästchens aktiv zustimmt.

Urteile des LG Berlin vom 18.11.2009, Az. 4 O 89/09 (Axel-Springer-Verlag) und 4 O 90/09 (Ullstein-Verlag) – nicht rechtkskräftig

Quelle: Pressemitteilung Verbraucherzentrale Bundesverband vom 09.02.2010

JurPC hat heute einen Aufsatz von Markus Lang mit dem Titel „Private Videoüberwachung im öffentlichen Raum“ veröffentlicht. Es handelt sich um einen Auszug aus einer Monographie des Autors. Markus Lang zieht insoweit anhand des BDSG sehr enge Grenzen. Lesenswert!

Beim Streit um die Abschaffung des sog. Listenprivilegs haben sich die Lobbyisten der Werbewirtschaft letztlich durchgesetzt, nachdem für den Fall der Abschaffung des Listenprivilegs wieder einmal der Untergang des Abendlandes beschworen wurde. Die Abstimmung im Bundestag soll am morgigen 03.07.09 stattfinden.

Das Listenprivileg des § 28 III Nr. 3 BDSG besagt, dass listenmäßig zusammengefasste Daten über Angehörige einer Personengruppe, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, auf die Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift und Geburtsjahr beschränken, auch ohne Zustimmung des Betroffenen übermittelt werden dürfen, wenn dabei kein überwiegendes schutzwürdiges Interesse des Betroffenen verletzt wird.

Die eigentlich naheliegende Forderung, dass jegliche Nutzung personenbezogener Daten zu Werbzwecken einer Zustimmung des Betroffenen bedarf, konnte sich somit nach langem Streit nicht durchsetzen.

Seit Jahren wird die Frage, ob IP-Adressen personenbezogene Daten i.S.d. BDSG sind, kontrovers diskutiert.

Während die Datenschutzbehörden mittlerweile einheitlich annehmen, dass IP-Adressen als personenbezogene Daten zu qualifizieren sind, ist die Frage in der juristischen Literatur äußerst umstritten.

In der aktuellen Ausgabe der Zeitschrift MultiMedia und Recht (MMR) findet sich ein Aufsatz von Per Meyerdierks (MMR 2009, S. 8 ) zu diesem Thema mit dem Titel „Sind IP-Adressen personenbezogene Daten?“. Meyerdierks ist Justitiar der Google Germany GmbH, weshalb seine Ansicht, IP-Adressen seien keine personenbezogene Daten, nicht überraschend kommt. Google hat gerade wegen solcher Dienste wie Google Analytics kein gesteigertes Interesse daran, IP-Adressen als personenbezogen einzustufen.

Meyerdierks stellt zunächst die Streitfrage dar, ob der erforderliche Personenbezug objektiv zu bestimmen ist oder subjektiv/relativ danach zu fragen ist, ob die konkret verarbeitende Stelle den Personenbezug selbst herstellen kann.

Sodann stellt er fest, dass der Wortlaut des § 3 Abs. 1 BDSG für keine der beiden Ansichten zwingende Argumente liefert.

Meyerdierks versucht anschließend aus einem Umkehrschluss aus § 3 Abs. 6 BDSG abzuleiten, dass IP-Adressen keine personenbezogene Daten sind. § 3 Abs. 6 BDSG enthält eine Legaldefinition der Anonymisierung von Daten. Danach sind anonymisierte Daten u.a. solche, die nur mit einem unverhältnismäßigen Aufwand einer bestimmten Person zugeordnet werden können. Da IP-Adressen nach Meinung des Autors allenfalls mit unverhältnismäßigem Aufwand personalisiert werden können, hält er eine Gleichseitzung von IP-Adressen und anonymisierten Daten für gerechtfertigt.

Insoweit bleibt aber die Frage offen, ob man bei IP-Adressen von einem unverhältnismäßigen Aufwand sprechen kann und v.a. aus wessen Sicht der Aufwand unverhältnismäßig sein muss.

Der Zugangsprovider kann, wenn er IP-Adressen geloggt hat, diese ohne nennenswerten Aufwand dem Anschlussinhaber zuordnen. Aus seiner Sicht ist der Aufwand also gering. Sogar derjenige, der sich in seinen Rechten verletzt fühlt, kann, über den Umweg des strafrechtlichen Ermittlungsverfahrens und über Auskunftsansprüche nach §§ 101 Abs. 2 UrhG, 19 Abs. 2 MarkenG beim Provider die zur IP-Adresse gehörige natürliche Person ermitteln.

Der Aufsatz von Meyerdierks lässt außerdem eine Auseinandersetzung mit Art. 2a) der Datenschutz-Richtlinie vermissen. Anders als der Wortlaut des BDSG spricht der Wortlaut der Richtlinie nämlich sehr wohl dafür, IP-Adressen als personenbezogene Daten zu qualifizieren. Hiernach wird eine Person als bestimmbar angesehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer.

Gerade das passt auf IP-Adressen sehr gut. IP-Adressen sind eine Art Kennnummer, die über den Umweg des Providers und damit indirekt eine Identifizierung einer natürlichen Person ermöglichen.

Damit hat der europäische Gesetzgeber auch klargestellt, dass die Möglichkeit der indirekten Identifizierung ausreichend ist. Dadurch ist der Ansicht, es käme nur auf das Wissen der konkret verarbeitenden Stelle an und die Kenntnisse Dritter könnten nicht berücksichtigt werden, der Boden entzogen.

Die Diskussion wird wohl noch eine Weile andauern.