Internet-Law

Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.

In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.

Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.

Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten “alle Informationen, die sich auf eine betroffene Person beziehen“. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.

In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:

Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.

Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.

Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.

Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.

Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.

Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.

24 der 27 nationalen Aufsichtsbehörden der EU-Mitgliedsstaaten für den Datenschutz haben nach Medienberichten Google schriftlich aufgefordert, seine vor einem halben Jahr eingeführte neue Datenschutzerklärung abzuändern. Die Datenschützer kritisieren primär die Zusammenführung der Daten aus den unterschiedlichen Diensten. Außerdem möchte offenbar auch die EU-Kommission die neuen Datenschutzregeln von Google beanstanden.

Eine aktuelle Pressemitteilung der französischen Datenschutzbehörde CNIL erläutert die Forderungen der europäischen Datenschützer etwas genauer.

Warum die neue Datenschutzerklärung von Google nicht mit deutschem und europäischem Datenschutzrecht vereinbar ist, habe ich vor einigen Monaten erläutert. Das Beispiel zeigt aber auch deutlich, dass das geltende Datenschutzrecht auf Geschäftsmodelle wie das von Google nicht ausgerichtet ist, weshalb es bei konsequenter Rechtsauslegung und -anwendung ohnehin schwierig werden wird, sämtliche Googledienste in ihrem aktuellen Funktionsumfang datenschutzkonform auszugestalten.

Laut einer Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) haben sich die deutschen Datenschutzaufsichtsbehörden im „Düsseldorfer Kreis“ darauf verständigt, dass die Behörden in den Ländern Bremen, Hamburg, Rheinland-Pfalz und Schleswig-Holstein stärker gegen Datenschutzverstöße von Facebook vorgehen. Beanstandet wird u.a. die Gesichtserkennung, die Facebook inzwischen standardmäßig durchführt.

Das ULD kündigt “direkte rechtliche Maßnahmen gegenüber der US-Zentrale“ von Facebook an.

Aktuell melden verschiedene Medien, dass Facebook die Gesichtserkennung in Europa stoppen wolle. Ob sich die deutschen Datenschützer damit schon zufrieden geben, wird sich zeigen.

Die öffentliche Entrüstung war groß, als der Bundestag, oder besser, das was von ihm während des EM-Halbfinales übrig war, eine  Neufassung des Meldegesetzes beschlossen hat, die die Möglichkeit der Datenweitergabe zu Zwecken der Werbung und des Adresshandels vorsah, wenn der Bürger nicht ausdrücklich widersprochen hat.

Mittlerweile liegt eine Ausschussempfehlung des Bundesrates zur Anrufung des Vermittlungsausschusses vor, der eine Änderung des maßgeblichen § 44 MeldeG in folgenden zentralen Punkten vorsieht:

Absatz 3 Nummer 2 ist wie folgt zu fassen:

“2. die Auskunft verlangende Person oder Stelle erklärt, die Daten nicht zu verwenden für Zwecke

a) der Werbung oder

b) des Adresshandels,

es sei denn, sie versichert, dass die betroffene Person ihr gegenüber in die Übermittlung für jeweils diesen Zweck eingewilligt hat. Auf Verlangen sind der Meldebehörde entsprechende Nachweise vorzulegen.”

cc) Absatz 4 ist wie folgt zu fassen:

“(4) Es ist verboten, Daten aus einer Melderegisterauskunft

1. für gewerbliche Zwecke zu verwenden, ohne dass ein solcher Zweck nach Absatz 1 Satz 2 bei der Anfrage angegeben wurde,

2. für Zwecke der Werbung oder des Adresshandels zu verwenden, es sei denn die betroffene Person hat im Zeitpunkt der Anfrage in die Übermittlung für jeweils diesen Zweck nach Absatz 3 Nummer 2 eingewilligt.”

Das bedeutet, das anfragende Unternehmen muss (nur) versichern, dass der Betroffene ihm gegenüber in die Datenübermittlung für Werbezecke eingewilligt hat. Wie soll man sich das bitte praktisch vorstellen? Ein Unternehmen der Werbebranche hat also angeblich eine wirksame Einwilligung des Betroffenen dahingehend eingeholt, dass Meldeämter seine Meldedaten an das Unternehmen weitergeben dürfen. Derartige Einwilligungen erteilt kein Mensch in datenschutzrechtlich wirksamer Art und Weise. Wenn eine solche Einwilligung demgegenüber irgendwo in AGB oder einem sonstigen Klauselwerk versteckt sind, genügen sie nicht den Anforderungen des § 4 a Abs. 1 BDSG und ist unwirksam.

Was der Vermittlungsausschuss da beschließen soll, ist nichts anderes als eine gesetzgeberische Einladung zum Missbrauch, der klar die Handschrift der Lobbyisten trägt. Andernfalls hätte man die Regelung nunmehr auch einfach so treffen können, dass den Meldebehörden eine Datenübermittlung zu Zwecken der Werbung und des Adresshandels generell untersagt ist. Dann kann es zwar immer noch zu Missbrauch kommen, aber der ist dann zumindest einfach nachzuvollziehen. Genau das ist aber offenbar nicht erwünscht.

Die Kollegen Härting und Schneider, die schon seit längerer Zeit eine weitreichende Reform des Datenschutzrechts fordern, haben nunmehr eine ausformulierte Alternative zum Entwurf einer Datenschutzgrundverordnung, den die EU-Kommission vor einigen Monaten vorgelegt hatte, vorgestellt.

Der Vorschlag von Härting und Schneider läuft auf einen Paradigmenwechsel hinaus, der mir zumindest im Grundsatz aber auch notwendig erscheint.

Wesentlich am Vorschlag von Härting/Schneider ist die Differenzierung zwischen personenbezogenen und sensiblen Informationen. Damit würde im Datenschutzrecht erstmals eine Abstufung nach dem Inhalt und der Bedeutung der Information für den Betroffenen vorgenommen. Das geltende Datenschutzrecht schützt alle personenbezogenen Daten gleichermaßen und zwar völlig unabhängig davon, wie schwer beispielsweise eine Weitergabe der konkreten Infomation für den Betroffenen tatsächlich wiegt. Als sensible Informationen sehen Härting/Schneider allerdings nur solche an, die der Intimsphäre des Betroffenen entstammen. Das ist meines Erachtens nicht sachgerecht, weil es eine ganze Reihe sensibler Daten gibt, die nicht aus der Intimsphäre stammen, an denen aber dennoch ein berechtigtes Geheimhaltungsinteresse des Betroffenen bestehen kann. Die Differenzierung von Härting/Schneider ist zwar grundsätzlich sinnvoll, die Gleichsetzung sensibler und intimer Daten erscheint allerdings zu eng.

Zweiter zentraler Aspekt des Entwurfs von Härting/Schneider ist eine Abkehr vom Verbotsprinzip. Das geltende Datenschutzrecht geht davon aus, dass eine Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, der Betroffene willigt ein oder eine gesetzliche Vorschrift erlaubt die Datenverarbeitung ausdrücklich (Verbot mit Erlaubnisvorbehalt). Schneider und Härting wollen demgegenüber als Grundsatz festschreiben, dass die Datenverarbeitung zunächst erlaubt sein soll. In ihrem § 5 Abs. 2 S. 1 heißt es deshalb:

Die Erhebung personenbezogener Informationen ist erlaubt.

Diese grundsätzliche gesetzliche Erlaubnis wird nach dem Konzept von Härting/Schneider dann dadurch eingeschränkt, dass der Datenverarbeiter verpflichtet ist, Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen. Anstelle eines Verbots mit Erlaubnisvorbehalt tritt ein Abwägungsgebot.

Lediglich dann, wenn es sich um Angaben handelt, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist dann berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, sofern seine schutzwürdigen Interessen der Datenverarbeitung entgegenstehen.

Diese Widerspruchslösung für Daten, die aus der Privat- oder Intimsphäre des Betroffenen stammen, ist allerdings schwerlich mit der Rechtsprechung des Bundesverfassungsgerichts zum Schutz des Persönlichkeitsrechts vereinbar. Denn Informationen, die der Intimsphäre des Betroffenen entstammen genießen danach absoluten, solche der Privatsphäre zumindest noch überwiegenden Schutz. Das bedeutet, Informationen aus der Intimsphäre des Betroffenen dürfen überhaupt nicht weitergegeben oder veröffentlicht werden, solche aus der Privatsphäre nur dann, wenn ein besonders bedeutsames Interesse der Allgemeinheit gegeben ist. Vor diesem Hintergrund genügt die bloße Möglichkeit zu widersprechen, den verfassungsrechtlichen Anforderungen nicht.

Diese Problematik wird in dem Entwurf von Härting/Schneider aber letztlich dadurch wieder abgemildert, dass § 8 Abs.1 des Entwurfs für die Verabreitung sensibler Informationen eine vorheriger Zustimmung (Einwilligung) des Betroffenen oder eine gesetzliche Gestattung verlangt. Für diese sensiblen Daten, die allerdings wie gesagt auf Informationen aus der Intimsphäre beschränkt sind, kehren Härting/Schneider dann eben doch zum Prinzip des Verbots mit Erlaubnisvorbehalt zurück.

Die Erstellung von Bewegungsprofilen und Nutzerprofilen wollen Härting/Schneider übrigens nur dann von einer Einwilligung des Betroffenen abhängig machen, wenn die Auswertung Aussagen über die Intimsphäre enthalten kann.

Der Alternativentwurf von Härting/Schneider stimmt zwar von seiner Stoßrichtung her, bietet im Detail aber Anlass zur Kritik. Nachdem der Entwurf allerdings, wie eingangs gesagt, einen datenschutzrechtlichen Paradigmenwechsel bewirken würde, ist nicht damit zu rechnen, dass sich für diesen Ansatz in der (aktuellen) politischen Diskussion eine europaweite Mehrheit finden wird.

Wie die Verbraucherzentrale Bundesverband meldet, hat Facebook Berufung gegen ein Urteil des Landgerichts Berlin vom 06.03.2012 (Az.: 16 O 551/10) eingelegt, durch das der Facebook FreundeFinder als wettbewerbswidrig und verschiedene Bestimmungen der Nutzungs- und Datenschutzbedingungen als unwirksam qualifiziert wurden.

Zum Urteil des LG Berlin hatte ich bereits vor einer Weile gebloggt.

Im Zusammenhang mit dem Urteil des Landgerichts Berlin bin ich außerdem mehrfach gefragt worden, ob mein Blogbeitrag  “Gilt deutsches Datenschutzrecht für Facebook überhaupt?” durch das Urteil hinfällig geworden sei. In meinem Beitrag hatte ich geschrieben, dass § 1 Abs. 5 BDSG nicht vertraglich abbedungen werden kann, während das Landgericht Berlin in seinem Urteil vom 06.03.2012 ausführt:

Deutsches Datenschutzrecht gilt aufgrund zulässiger Rechtswahl. § 1 Abs. 5 BDSG steht dem nicht entgegen.

Das Landgericht Berlin geht also davon aus, dass die Vorschrift des § 1 Abs. 5 BDSG vertraglich abbedungen werden kann und das Datenschutzrecht der Rechtswahl der Parteien unterliegt. Diese Rechtsmeinung des Landgerichts ist nach meiner Einschätzung juristisch nicht vertretbar.

Das LG Berlin stützt seine Ansicht auf Art 3 Abs. 1 der Rom-I-Verordnung, übersieht dabei aber Art. 9 der Rom-I-Verordnung. Datenschutzrechtliche Vorschriften gelten als Eingriffsnormen im Sinne von Art. 9, die gerade nicht der freien Rechtswahl unterliegen. Das LG Berlin verliert außerdem kein Wort über Art. 4 der Datenschutzrichtlinie, deren Umsetzung § 1 Abs. 5 BDSG dient. Danach hat jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten anzuwenden. § 1 Abs. 5 BDSG kann deshalb nicht dispositiv sein.

Vor diesem Hintergrund war es bislang auch einhellige Meinung in der juristischen Literatur, dass das Datenschutzrecht gerade nicht der Rechtswahl der Parteien unterliegt.

Bei Facebook ist davon auszugehen, dass es derzeit keine Niederlassung (im datenschutzrechtlichen Sinne) in Deutschland gibt und gleichzeitig aber Daten im Inland erhoben werden, während die maßgebliche Datenverarbeitung durch die verantwortliche Stelle aber dann außerhalb der EU – nämlich in den USA – stattfindet. Deutsches Datenschutzrecht gilt damit nicht aufgrund einer Rechtswahl, sondern nach § 1 Abs. 5 S. 2 BDSG.

Das Urteil des Landgerichts Berlin dürfte zwar im Ergebnis weitgehend zutreffend sein, ist aber teilweise unrichtig begründet worden.

SPON hat unter dem Titel “Facebooks dunkle Seiten” gerade wieder einmal darauf aufmerksam gemacht, dass Facebook mit den Daten und Informationen ihrer Nutzer in einer Art und Weise umgeht, die jedenfalls mit deutschen und europäischen Rechtsstandards nicht vereinbar ist. Facebook beachtet insbesondere weder das Fernmeldegeheimnis noch die Vorgaben des Datenschutzrechts.

Facebook ist deshalb in besonderem Maße problematisch, wenn es von Kindern und Jugendlichen genutzt wird, denn die sind häufig noch weniger als Erwachsene in der Lage, die Risiken zu überblicken. Nach dem Nutzungsbedingungen von Facebook dürfen Kinder unter 13 Jahren kein Nutzerkonto eröffnen. Die Realität sieht freilich anders aus, zumal Facebook diese selbstgesetzte Altersgrenze nicht konsequent kontrolliert.

Ist diese Altersvorgabe seitens Facebook eigentlich verbindlich, oder ergeben sich aus dem deutschen Recht andere Anforderungen? Problematisch ist an dieser Stelle insbesondere das Datenschutzrecht. Facebook erhebt und verarbeitet nämlich in erheblichem Umfang personenbezogene Daten seiner Nutzer. Eine solche Datenverarbeitung erfordert nach deutschem Recht grundsätzliche eine Einwilligung des Nutzer, die während der Registrierung abgefragt wird. Ob jemand eine solche Einwilligung in die Verarbeitung personenbezogener Daten wirksam erteilen kann, hängt von seiner Einsichtsfähigkeit ab. Diesbezüglich existiert die weitverbreitete Rechtsansicht, dass diese Einsichtsfähigkeit bei Kindern unter 14 Jahren regelmäßig fehlt und sie auch im Alter zwischen 14 und 16 nicht ohne weiteres unterstellt werden kann, zumal vor dem Hintergrund der Unüberschaubarkeit der Datenverarbeitung durch Anbieter wie Facebook (Siehe z.B.: Spindler/Nink in: Recht der elektronischen Medien, BDSG, § 4a, Rn. 2a; Arlt, MMR 2007, 683, 684).

Wenn man diese wohl herschende Auslegung zum deutschen Datenschutzrecht zugrunde legt, muss man eine Nutzung von Facebook durch Jugendliche unter 16 zumindest als problematisch betrachten. Mit der Wirklichkeit steht diese Rechtsansicht freilich nicht in Einklang, denn gerade Jugendliche unter 16 nutzen Facebook massenhaft. Dass Facebook in diesen Fällen die Daten der Minderjährigen in rechtswidriger Art und Weise verarbeitet, dürfte den Anbieter aus Kalifornien außerdem kaum stören.

Meine Timeline bei Twitter echauffiert sich gerade (wieder einmal) über die Schufa, seit bekannt wurde, dass das Unternehmen ihre Datenbestände jetzt auch um Informationen erweitern will, die aus dem Internet stammen. Der NDR meldet, dass die Schufa zusammen mit dem Hasso-Plattner-Institut plant, Daten von Nutzern aus sozialen Netzwerken und verschiedensten Onlinequellen zu erheben und mit den bestehenden Schufa-Daten zu kombinieren.

Die mediale Empörungsmaschinerie, an deren Spitze man fast erwartungsgemäß u.a. Thilo Weichert und die “Digitale Gesellschaft” findet, läuft angesichts dieser Meldung gerade auf Hochtouren.

Dass die Schufa aus allgemein zugänglichen Quellen Informationen sammeln möchte, ist allerdings derart naheliegend, dass die Aufregung schon etwas erstaunt. Und auch wenn es den ein oder anderen überraschen mag, die Schufa darf das grundsätzlich auch. Denn die Erhebung und Speicherung personenbezogener Daten zum Zwecke der Übermittlung ist nach § 29 Abs. 1 Nr. 2 BDSG u.a. dann zulässig, wenn die Daten aus allgemein zugänglichen Quellen stammen. Unter den Voraussetzung des § 28b BDSG dürfen diese Daten dann auch für Scoring-Verfahren verwendet werden. Das deutsche Datenschutzrecht sieht also längst vor, dass Auskunfteien wie die Schufa auch im Netz Daten sammeln können, weshalb die künstliche Aufregung von Leuten wie Weichert einmal mehr nur politisch erklärbar ist.

Worin ich das eigentlich größte Problem sehe, ist die Frage, wie die Schufa die Authentizität der Daten gewährleisten will. Denn im Netz kursieren viele falsche Informationen, die Echtheit bzw. eindeutige Personifizierbarkeit von Profilen ist nicht ohne weiteres zu gewährleisten.

Ansonsten dürfte das Vorhaben der Schufa mit geltendem Datenschutzrecht vereinbar sein. Wer hier also einen Skandal wittert, der muss vom Gesetzgeber verlangen, Auskunfteien wie die Schufa entweder abzuschaffen oder gesetzlich deutlich weiter zu beschränken als bisher. Insoweit sollte man aber berücksichtigen, dass es trotz aller Kritik, die man berechtigterweise an der Schufa üben kann, grundsätzlich auch ein nachvollziehbares Bedürfnis dafür gibt, eine Einschätzung der Kreditwürdigkeit und wirtschaftlichen Zuverlässigkeit seines Vertragspartners zu erhalten. Hierauf weist Thomas Knüwer in seinem Blog zu Recht hin.

Die von Kris Köhntopp vertretene Ansicht, dass die Schufa im Falle des Erfolgs des Projekts mit dem HPI künftig ohne Einkommen wäre, vermag ich übrigens nicht zu teilen. Denn die Schufa bekommt ihre Daten derzeit überwiegend von ihren Mitgliedern und diese Daten sind eben gerade nicht öffentlich verfügbar und nicht durch allgemein zugängliche Daten substituierbar. Es handelt sich u.a. um Daten bezüglich abgeschlossener Darlehensverträge und Ratenzahlungsgeschäfte. Wenn die Schufa diese Daten nunmehr mit im Netz verfügbaren Daten kombiniert, erweitert sie nur ihren Datenbestand, aber macht sich nicht selbst überflüssig. Denn die spezifischen Daten, die sie von ihren Mitgliedern erhält, werden auch in Zukunft nicht im Netz zu finden sein.

Update:
Nur zur Klarstellung sei angemerkt, dass wir natürlich noch nicht so ganz genau wissen was die Schufa vor hat – möglicherweise weiß sie das selbst noch nicht genau – weshalb sich über unterschiedliche Sachverhaltsvarianten trefflich spekulieren lässt. Meine Ausführungen bezogen sich auf im Internet allgemein – d.h. grundsätzlich für jedermann – zugängliche Daten. Sollte sich die Schufa, auf welchem Weg auch immer, Daten verschaffen, die nur einem eingeschränkten Personenkreis zugänglich sind, dann wäre das natürlich nicht von der Vorschrift des § 29 BDSG gedeckt. Mittlerweile hat die Schufa laut SPON zumindest aber auch erklärt, dass sich die Pläne nur auf allgemein zugängliche Daten beziehen. Alles andere hätte mich ernstlich verwundert.

Ansonsten sollte niemand darüber erstaunt sein, dass die Schufa die Möglichkeiten auslotet, die ihr das Gesetz bietet. Wenn man jetzt bei SPON liest “Minister wollen Facebook-Schnüffelei stoppen“, dann ist das wiederum nur Ausdruck einer politischen Verlogenheit die man häufig antrifft. Denn es ist gerade die Politik, die diejenigen gesetzlichen Rahmenbedingungen geschaffen hat, die die Schufa jetzt für sich nutzen möchte. Wenn man schon empört ist, dann sollte diese Empörung doch in erster Linie der Politik gelten, die wieder einmal versucht, von sich selbst abzulenken.

Detektor.fm berichtet darüber, dass der FC Bayern München von den Besuchern des morgigen CL-Finales die Angabe von Personen- und Anreisedaten gefordert hat, mit Verweis darauf, dass dies von der UEFA und den örtlichen Polizeibehörden verlangt würde. Das entsprechende Schreiben des Clubs ist bei detektor.fm online. Wie und wofür diese Daten verwendet werden und wie lange sie gespeichert bleiben, besagt das Schreibens des FC Bayern nicht.

Die Münchener Polizeibehörden haben offenbar sogleich dementiert. Das ist wenig überraschend, denn aus polizeirechtlicher Sicht gibt es keine Rechtsgrundlage dafür, die Anreisedaten aller Besucher vorab zu ermitteln.

Ob es seitens der UEFA eine entsprechende Vorgabe gibt, ist offenbar unklar. Sie wäre jedenfalls nicht mit deutschem und europäischem Datenschutzrecht vereinbar, zumal nicht darüber aufgeklärt wurde, was der genaue Zweck der Datenerhebung ist. Vielmehr wird der Eindruck erweckt, der Stadionbesucher müsse diese Daten preisgeben, weil dies eine behördliche Vorgabe sei. Allein damit entfällt aber die Freiwilligkeit der Einwilligung in die Datenverarbeitung.

Das Bayerische Landesamt für Datenschutzaufsicht sollte sich mit diesem Vorgang befassen und diesen datenschutzrechtlichen Verstoß entsprechend ahnden.

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70′er und 80′er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.