Internet-Law

Richard Gutjahr berichtet heute in seinem Blog über ein Datenschutzranking der Initiative Lobbyplag. Dort wird dargestellt, welche Abgeordneten und Parteien Änderungsanträge zur geplanten Datenschutzgrundverordnung eingebracht haben, die den Datenschutz entweder stärken oder schwächen.

Nach Lektüre des Beitrags ist man allerdings nicht viel schlauer als vorher. Denn wie dieses Ranking zustande gekommen ist, erschließt sich dem oberflächlichen Betrachter nicht, auch wenn Lobbyplag die Vorgehensweise und Kriterien etwas ausführlicher beschreibt. Zentral ist in einem ersten Schritt nämlich immer die Frage, ob man den einzelnen Änderungsantrag als datenschutzfreundlich oder datenschutzfeindlich qualifiziert. Hierzu haben die Macher von Lobbyplag mehr als 3.000 Änderungsanträge jeweils mit einem Plus oder einem Minus versehen oder auch als neutral bewertet.

Bereits bei einem kurzen beliebigen Blick auf einige Einzelbewertungen erkennt man Diskussionsbedarf. Ich möchte hierzu ein beliebiges Beispiel  herausgreifen, um zu zeigen, wie fragwürdig einzelne Bewertungen durch Lobbyplag sein können. Das Beispiel betrifft folgenden Änderungsvorschlag des Abgeordneten Axel Voss:

#413 – Recital 25
(25) Consent should be given explicitlyunambiguously by any appropriate method enabling a freely given specific and informed indication of the data subject’s wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject’s consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. The information provided in order for children to express the consent should be given in a clear and age-appropriate language, in a way that it would be easy to understand for a child above the age of 13.

Als schwächende Veränderung wurde hier gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff „explicitly“ durch „unambiguously“ ersetzt werden soll. Man kann das allerdings auch als sinnvolle Klarstellung bewerten. Denn der aktuelle Entwurfstext ist widersprüchlich. Er spricht einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  – also konkludentes Verhalten – ausreichend sein soll. Es erscheint mir sinnvoll, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Die weitere Einfügung des Abgeordneten Voss, wonach die Einwilligungserklärung gegenüber Kindern (über 13 Jahren) in einer klaren und altersgerechten Sprache abgefasst sein muss, ist meines Erachtens als datenschutzfreundliche Ergänzung zu qualifizieren.

Ich würde hier also die erste Änderung als neutral, aber sinnvoll und die zweite als datenschutzstärkend einstufen. Das ergibt dann, anders als bei Lobbyplag, in der Tendenz eine datenschutzfreundliche Wertung. Wenn mir solche Fälle schon bei einer ersten beliebigen Draufsicht auffallen, muss ich unterstellen, dass sich zahlreiche fragwürdige Bewertungen finden lassen. Die Zeit, mehr als 3.000 Einzelbewertungen zu überprüfen, habe ich allerdings nicht. Solche Ungereimtheiten bleiben dem normale Nutzer, der sich nicht in die Einzelheiten vertieft, aber zwangsläufig verborgen.

Jenseits der Einzelbewertungen bestehen aber ganz grundlegende methodische Bedenken gegen das Vorgehen von Lobbyplag. Das Datenschutzranking ist von einem Tunnelblick geprägt und blendet die komplexen Wechselwirkungen zu anderen Rechtspositionen und legitimen Interessen gänzlich aus.

Das Recht auf Schutz personenbezogener Daten bzw. das Grundrecht auf informationelle Selbstbestimmung steht, wie jedes Grundrecht, im ständigen Spannungsverhältnis zu anderen Rechten und Grundwerten. Es kann also durchaus sein, dass eine Änderung, die man isoliert als Schwächung des Datenschutzes bewerten kann, gleichzeitig das Recht auf Meinungs- oder Informationsfreiheit stärkt, um nur eines der bekannten Spannungsfelder zu nennen. Und natürlich müssen und dürfen auch legitime wirtschaftliche Interessen berücksichtigt werden. Dass vordergründig datenschutzfreundliche Änderungsvorschläge zu Lasten der Kommunikationsfreiheiten gehen können, habe ich bereits früher erläutert. Carlo Piltz hat einen anderen vermeintlich datenschutzfreundlichen Aspekt der Datenschutzgrundverordnung, das geplante Recht auf Datenübertragbarkeit, kritisch beleuchtet und hinterfragt. Ob man also etwas als datenschutzfreundlich bewertet oder nicht, besagt noch nichts darüber, ob eine Regelung in einem größeren Kontext als ausgewogen und vor allen Dingen – woran es im ganzen Datenschutzrecht erheblich krankt – praxistauglich zu bewerten ist. Die Einteilung in gut oder böse bzw. hier in datenschutzfreundlich und datenschutzfeindlich lässt die komplexe Wechselwirkung mit anderen Rechtspositionen völlig außer Betracht. Genau das müsste aber analysiert und bewertet werden. Dieses Ranking nimmt keinerlei Interessenabwägung vor und das ist wohl auch nicht sein Anliegen. Sein Ansatz ist vielmehr monokausal.

Gerade deshalb ist es aber aus rechtswissenschaftlicher Sicht nicht wirklich brauchbar und hilfreich. Der methodische Ansatz den Lobbyplag gewählt hat, ist nicht geeignet, den notwendigen komplexen Abwägungsprozess abzubilden.

Der BGH hat heute entschieden, dass sich ein Privatermittler, der am Auto der von ihm observierten „Zielperson“ einen GPS-Empfänger – vermutlich eher einen Sender – anbringt und dadurch ermittelt, wann sich das Fahrzeug wo aufhält, grundsätzlich nach §§ 44, 43 Abs. 2 BDSG strafbar macht (Urteil vom 4. Juni 2013, Az.:  1 StR 32/13).

Für die Frage, ob die Gestattungstatbestände der § 28 oder 29 BDSG eine solche Datenerhebung erlauben, ist zwar eine Abwägung der widerstreitenden Interessen im Einzelfall erforderlich. Nach Ansicht des BGH kann aber nur bei Vorliegen eines starken berechtigten Interesses an dieser Datenerhebung die Abwägung ausnahmsweise (etwa in notwehrähnlichen Situationen) ergeben, dass das Merkmal des unbefugten Handelns bei diesen Einsätzen von GPS-Empfängern zu verneinen ist.

Die Entscheidung dürfte grundsätzlich für Fälle von Geotargeting bzw. Geolocation ohne ausreichende datenschutzrechtliche Einwilligung des Betroffenen von Bedeutung sein.

Quelle: Pressemitteilung des BGH

Gerade habe ich versucht, mich online zum Netzkongress der CSU anzumelden. Aber die CSU macht die Anmeldung davon abhängig, dass man sich mit der Zusendung aktueller Informationen zur Politik, den Veranstaltungen und den Terminen der CSU einverstanden erklärt und mit einer Speicherung und Verwendung der Anmeldedaten zu diesem Zweck. Wenn man das entsprechende Häkchen nicht setzt, kann man sich nicht zum Netzkongress anmelden, sondern erhält den Hinweis, dass die „Datenschutz-Zustimmung“ fehlt:

Anmelden kann sich online bei der CSU also nur, wer gleichzeitig erklärt, dass sein E-Mail-Account mit politischer Information bzw. Werbung geflutet werden darf und diesbezüglich natürlich auch in die Speicherung seiner Anmeldedaten einwilligt.

Nachdem insoweit von einer Datenschutz-Zustimmung – gemeint ist wohl eine Einwilligung – die Rede ist, müssen auch die Vorgaben des § 13 Abs. 2 TMG beachtet werden. Zudem müsste die Einwilligungserklärung getrennt von anderen Erklärungen stehen und gesondert hervorgehoben sein.

Liebe CSU, ich wäre gern zu eurem Netzkongress gekommen, aber ich glaube so wird das nichts mit uns.

Was vielen Juristen schon länger klar war, ist nunmehr in Deutschland auch erstmals gerichtlich bestätigt worden. Mehrere von Apple verwendete Datenschutzklauseln sind rechtswidrig.

Das Landgericht Berlin (Urteil vom 30.04.2013, AZ.: 15 O 92/12) verurteile Apple, auf eine Klage des Verbraucherzentrale Bundesverband e.V. hin, zur Unterlassung von insgesamt acht für Apple zentralen Datenschutzklauseln.

Danach ist die Regelung, nach der Apple und seine verbundenen Unternehmen die Kundendaten untereinander austauschen und mit anderen Daten verbinden können, ebenso unwirksam, wie die Klausel, dass Apple auch Daten von Freunden und Familienangehörigen erheben darf, die der Apple-Kunde im Rahmen des Produktversandes oder aus anderen Gründen zur Verfügung stellt. Unwirksam ist zudem die Klausel, wonach die Erhebung von personenbezogenen Daten gleichzeitig dazu berechtigt, den Kunden über neue Produkte, Updates und Veranstaltungen zu informieren.

Auch die Klauseln, nach denen Apple die erhobenen Daten an strategische Partner und andere Dritte weitergeben darf, um beispielsweise Produkte zur Verfügung zu stellen oder Apple beim Marketing gegenüber Kunden zu helfen, hat das Landgericht Berlin beanstandet.

Ebenfalls rechtswidrig sind die Regeln zur Erhebung von Standortdaten der Apple-Nutzer (Geolocation).

Das Gericht beanstandet im Einzelnen immer wieder, dass Apple eine nur allgemeine und globale Einwilligung in Datenverarbeitungsprozesse einholt, ohne, dass der Kunde erfährt, welche Daten konkret betroffen sind. Auch die fehlende Erläuterung des Zwecks der Datenverarbeitung wird mehrfach beanstandet und bei der Datenweitergabe an Dritte auch die fehlende Information darüber, wer diese Dritten sind.

Apple wird diese Entscheidung vermutlich nicht rechtskräftig werden lassen und Berufung einlegen. Einige der Klauseln sind allerdings derart intransparent, dass man überwiegende Erfolgsaussichten von Apple wohl kaum attestieren kann.

Der vzbv geht in letzter Zeit verstärkt auch gegen die großen Player der TK- und IT-Wirtschaft vor und nimmt damit die Interessen der Nutzer und Verbraucher sehr effektiv wahr.

Der Kollege Dosch berichtet ebenfalls etwas ausführlicher über das Urteil.

Update:
Der Kollege Carlo Piltz thematisiert zu Recht die Frage, ob deutsches Datenschutzrecht hier überhaupt anwendbar ist und kritisiert die diesbezügliche Begründung des Landgerichts. In einem älteren Blogbeitrag habe ich am Beispiel Facebooks schon einmal dargelegt, weshalb ich deutsches Datenschutzrecht in derartigen Konstellationen für anwendbar halte. Die Frage ist freilich derzeit äußerst umstritten, wie aktuelle verwaltungsgerichtliche Entscheidungen aus Schleswig-Holstein zeigen.

Die vom Kollegen Härting geäußerte Kritik an der Entscheidung des Landgerichts Berlin teile ich nicht. Sie wählt bereits einen unzutreffenden Ansatz. Nach dem geltenden Recht ist eine Datenverarbeitung nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift die Datenverarbeitung erlaubt (§§ 4 Abs. 1 BDSG, 12 Abs. 1 TMG). Rechtsvorschriften, die die gerügte Datenverarbeitung erlauben würden, sind nicht ersichtlich.

Apple könnte sich also nur auf eine Einwilligung berufen, die man bei Apple in der Tat versucht im Hinblick auf diese Klauseln auch einzuholen. Die mir bekannten Einwilligungserklärungen von Apple genügen aber noch nicht einmal den formellen Anforderungen von § 13 Abs. 2 TMG. Weder kann der Nutzer den Inhalt der Einwilligung jederzeit abrufen, noch wird er darüber unterrichtet, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Inhaltlich gilt im deutschen Datenschutzrecht der Grundsatz der informierten Einwilligung. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Er muss also konkret darüber informiert werden, welche Daten erhoben werden und was mit diesen Daten dann genau passiert. Dazu findet man in den schwammigen Klauseln von Apple aber nichts erhellendes.

Die Klauseln von Apple weichen also von den wesentlichen Grundgedanken der §§ 12 Abs. 1 TMG, 4 Abs. 1 BDSG  ab und sind daher als AGB nach § 307 BGB unwirksam.

Facebook darf vorerst auch weiterhin die Konten von Nutzern, die nicht ihre Klarnamen angeben, sperren. Das Oberverwaltungsgericht Schleswig hat die Beschwerden des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen Eilentscheidungen des Verwaltungsgerichts Schleswig zurückgewiesen (Beschlüsse vom 22. April 2013, Az.: 4 MB 10/13 und 11/13).

Auch wenn es sich lediglich um ein Eilverfahren handelt, dürfte es damit für das ULD im Hauptsacheverfahren schwierig werden. Denn das OVG wird seine rechtliche Einschätzung, wonach Facebook nicht an deutsches Datenschutzrecht gebunden ist, vermutlich aufrecht erhalten. Aber vielleicht marschiert Thilo Weichert ja bis zum Bundesverwaltungsgericht.

Warum ich die Ansicht, Facebook sei nicht an deutsches Datenschutzrecht gebunden, für falsch halte und dennoch das Vorgehen des ULD nicht als gerechtfertigt ansehe, habe ich hier und hier erläutert.

Der Bayerische Landesbeauftragte für den Datenschutz hat 66 bayerische Behörden bzw. öffentliche Stellen aufgefordert, die direkte Einbindung von Social Plugins – wie den Gefällt-Mir-Button von Facebook – in ihren Internetauftritt zu unterlassen.

Nach Auffassung der Datenschutzbehörde ist die Einbindung von Social Plugins in die eigene Website datenschutzwidrig. In einer Orientierungshilfe für öffentliche Stellen erläutert der Datenschutzbeauftragte seine Rechtsauffassung folgendermaßen:

Durch eine bloße direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich eine entsprechende (Mit-)Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorgaben des Telemediengesetzes, beispielsweise §§ 12, 13 TMG, von dieser Behörde nicht erfüllt.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Diese Vorgaben des Bayerischen Datenschutzbeauftragten gelten unmittelbar nur für Behörden und öffentliche Stellen, da der Datenschutzbeauftragte in Bayern nur für den öffentlichen Bereich zuständig ist. Für Private, insbesondere Unternehmen, ist in Bayern das Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde. In einigen anderen Bundesländern existiert diese gesplittete Zuständigkeit nicht, dort ist vielmehr der Landesdatenschutzbeaftragte sowohl für den öffentlichen als auch den nichtöffentlichen Bereich zuständig.

Mir wurde heute eine nette kleine Anekdote zum Thema Datenschutz in Schilda Deutschland zugetragen. Der niedersächsische Datenschutzbeauftragte war bekanntlich ja schon immer mal für eine datenschutzrechtliche Groteske gut und er liefert auch aktuell wieder.

Denn der Landesdatenschutzbeauftragte verstößt – wie auch der gesamte Server niedersachsen.de – höchstselbst gegen datenschutzrechtliche Vorschriften.

Die Website des Landesdatenschutzbeauftragten enthält nämlich folgenden Tracking-Code des Tools Piwik:

In der Datenschutzerklärung des Landesdatenschutzbeauftragten findet sich dazu nichts. An anderer Stelle kann man allerdings beim Datenschutzbeauftragten den folgenden Hinweis finden:

Aus datenschutzrechtlicher Sicht sind viele der bekannten verwendeten Webtracking-Dienste unzulässig

Das würde ich so pauschal zwar nicht formulieren. Unzulässig ist es aber in jedem Fall dann, wenn man die Nutzer des Angebots nicht auf das Tracking hinweist. Die Nutzung des Tracking-Tools gehört wegen § 13 Abs. 1 TMG zumindest in die Datenschutzerklärung.

Wer kontrolliert eigentlich Datenschutzbehörden, die sich selbst nicht an die gesetzlichen Vorgaben halten?

Dass bei Facebook beim Thema Datenschutz einiges im Argen liegt, ist keine neue Erkenntnis. Dennoch kommen bei Facebook laufend neue Funktionalitäten hinzu, die datenschutzrechtliche Fragen aufwerfen.

Wer sich als Unternehmer auf Facebook bewegt und eine sog. Fanseite unterhält, kann dort Werbeanzeigen (Facebook Ads) erstellen. Hierzu ermöglicht Facebook es neuerdings auch, die Werbung auf ein „benutzerdefiniertes Publikum“ auszurichten, wie der Kollege Schwenke in seinem Blog erläutert. Hierzu bietet Facebook die Möglichkeit an, die Daten von Kunden bzw. Werbeadressaten hochzuladen, um den so definierten Adressatenkreis direkt zu erreichen.

Das ist jedenfalls dann, wenn die Daten aus der eigenen Kundendatenbank des Werbenden stammen, problematisch. Denn der Kunde hat im Regelfall keine datenschutzrechtliche Einwilligung dafür erteilt, die Daten an Facebook zu übermitteln und dort zum Zwecke der Einblendung von Werbeanzeigen zu nutzen.

Anders sieht es nach geltendem Recht allerdings dann aus, wenn es sich nicht um Kundendaten handelt, sondern wenn man die Daten der Werbeadressaten allgemein zugänglichen Quellen (Web oder Facebook) entnommen hat. Solche Daten dürfen nach § 28 Abs. 1 S.1 Nr. 3 BDSG verarbeitet werden.

Aber selbst eigene Kundendaten kann man dann zu Werbezwecken verarbeiten, wenn man das sog. Listenprivileg des § 28 Abs. 3 S. 2 BDSG beachtet. Danach dürfen listenmäßig zusammengefasste Daten über Angehörige einer bestimmten Personengruppe, die man im Rahmen der Begründung eines rechtsgeschäftlichen Schuldverhältnisses (also Kundendaten) erhalten oder allgemein zugänglichen Verzeichnissen entnommen hat, für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift verwendet werden.

Man kann also unter diesen Voraussetzungen die Daten von Geschäftskunden – nicht die von Verbrauchern – auch für die Schaltung individualisierter Werbeanzeigen benutzen. Allerdings sieht das Gesetz vor, dass die Betroffenen der Verarbeitung oder Nutzung ihrer Daten zu Werbezwecken widersprechen können und auf dieses Widerspruchsrecht bei der Werbeansprache oder Begründung des Vertragsverhältnisses hingewiesen werden muss (§ 28 Abs. 4 BDSG). Man müsste folglich als Werbender also in die Werbeanzeige einen Hinweis auf das Widerrufsrecht aufnehmen. In der datenschutzrechtlichen Literatur wird aber auch die Ansicht vertreten, dass nicht jede Werbung dem Widerspruchsrecht unterliegt, sondern nur solche zum Zwecke des Direktmarketings (Gola/Schomerus, BDSG, § 28, Rn. 61). Wenn man das Widerspruchsrecht derart einschränkend auslegt, wäre überhaupt keine Widerspruchsmöglichkeit bei bloßen Ads gegegeben.

Die Rechtslage ist also nicht gänzlich eindeutig, aber meines Erachtens ermöglicht das Listenprivileg des BDSG durchaus auch eine gezielte Ausrichtung von Ad-Kampagnen auf Geschäftskunden und erst recht auf Unternehmen, die noch keine Kunden sind.

Ob man das rechtspolitisch für sinnvoll hält, ist eine ganz andere Frage. Das deutsche Datenschutzrecht sieht eben nach wie vor eine deutliche Privilegierung der Datenverarbeitung für Werbezwecke vor, was die Folge erfolgreicher Lobbyarbeit von Wirtschaftsverbänden ist.

In der Diskussion um die geplante Datenschutzgrundverordnung wird von Bürgerrechtsgruppen regelmäßig darauf hingewiesen, dass Industrielobbyisten versuchen würden, den Kommissionsentwurf zu verwässern. Grundsätzliche Kritik an der geplanten Datenschutzreform hört man aus der bürgerrechtlichen Ecke demgegenüber kaum. Es wird ganz im Gegenteil der Eindruck erweckt, als sei das vorgestellte Konzept im Sinne der Bürgerrechte zwingend notwendig und sogar noch zu verschärfen. Slogans wie „Unsere Grundrechte auf Privatsphäre und Datenschutz sind in Gefahr!„ schüren Ängste und lenken von der eigentlich notwendigen Diskussion ab.

Es werden insoweit von Bürgerrechtsorganisationen durchaus auch bedenkliche Forderungen aufgestellt, was ich anhand eines konkreten Beispiels einmal näher erläutern möchte. Der Verein Digitale Gesellschaft e.V. hat einen 10-Punkte-Katalog zur Datenschutzgrundverordnung aufgestellt, in dem u.a. folgende Forderung enthalten ist:

Einer der sechs Kriterien für eine rechtmäßige Verarbeitung von Daten ist das sogenannte „berechtigte Interesse“ der Unternehmen. (…) Der Bericht des Europäischen Parlaments lässt viel zu viele Ausnahmen zu. Der Begriff des „berechtigten Interesses“ wird dadurch zu einer Art Trojaner, der eine exzessive Verarbeitung unserer Daten ermöglicht. (…)

Wir fordern daher, dass das „berechtigte Interesse“ als Kriterium für eine rechtmäßige Datenverarbeitung komplett gestrichen wird.

Um zu verstehen, was das bedeutet, muss man etwas weiter ausholen und sich mit der Grundstruktur des Datenschutzrechts auseinandersetzen.

Das Datenschutzrecht ist vom sog. Verbotsprinzip geprägt, das unter einem Erlaubnisvorbehalt steht. Dieses Konzept wird von der Datenschutzgrundverordnung, trotz erheblicher Kritik, beibehalten. Es besagt, dass zunächst jede Erhebung und Verarbeitung personenbezogener Daten verboten ist, solange nicht der Betroffene ausdrücklich in die Datenverarbeitung einwilligt oder ein Gesetz die Datenverarbeitung zulässt.

Der Entwurf der Datenschutzgrundverordnung macht insoweit in seinem Art. 6 zur Rechtmäßigkeit einer Datenverarbeitung folgende Vorgaben:

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.
c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.
d) Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person zu schützen.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt und die dem für die Verarbeitung Verantwortlichen übertragen wurde.
f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Was die Digitale Gesellschaft also fordert, ist die komplette Streichung von Art. 6 Abs. 1 Nr. f. Das wird zu unlösbaren praktischen Problemen führen und würde zu Ende gedacht sogar ein Verbot sämtlicher Internetkommunikation bedeuten.

Die Internetkommunikation ist bekanntlich IP-basiert, d.h. es werden laufend IP-Adressen übermittelt und ganz regelmäßig auch gespeichert. IP-Adressen sind aber nach der derzeitigen Einschätzung aller deutschen Datenschutzaufsichtsbehörden stets als personenbezogene Daten anzusehen. Ob das nach der Verordnung auch so sein soll, ist nach der Entwurfsfassung nicht gänzlich klar. Die Änderungsvorschläge des Berichterstatters im EU-Parlament Jan Philipp Albrecht sehen im Änderungsantrag 15 deshalb vor, klarzustellen, dass auch IP-Adressen und Cookies als personenbezogen im Sinne der Verordnung betrachtet werden müssen, es sei denn, es handelt sich um IP-Adressen von Unternehmen. Diese Differenzierung ist schon deshalb problematisch, weil man der IP-Adresse ja nicht ansieht, ob sie von einem Unternehmen oder einer natürlichen Person verwendet wird, weshalb man als sog. verantwortliche Stelle im Zweifel immer alle IP-Adressen als personenbezogen betrachten muss.

Die Übermittlung und Speicherung von IP-Adressen und Cookies wäre damit nach dem geltenden Verbotsprinzip zunächst generell verboten. Das bedeutet eigentlich, dass damit in einem ersten Schritt die gesamte Internetkommunikation datenschutzwidrig ist. Diese Datenverarbreitung kann nun natürlich aber zulässig sein, wenn ein gesetzlicher Erlaubnistatbestand vorliegt. Weil eine Einwilligung ausscheidet und auch ein Vertragsverhältnis im Regelfall nicht gegeben ist, bleibt als einziger Erlaubnistatbestand nach der Datenschutzgrundverordnung die Vorschrift des Art. 6 Abs. 1 Nr. f, nämlich die Wahrung eines berechtigten Interesses. Und genau diese Regelung möchte die Digitale Gesellschaft streichen, mit der Begründung, es handle sich um eine Art Trojaner, der eine exzessive Verarbeitung unserer Daten ermöglicht. Das Dumme ist jetzt nur, dass dieser Trojaner die Internetkommunkation datenschutzrechtlich überhaupt erst erlaubt.

Gerade schwer nachvollziehbare Folgen dieser Art sind der Grund dafür, dass einige ernsthafte Stimmen eine grundlegende Reform des Datenschutzrechts fordern und eine Abkehr vom Verbotsprinzip.

Was in der bürgerrechtlichen Diskussion ebenfalls viel zu kurz kommt, ist das Spannungsverhältnis zwischen Datenschutz einerseits und Kommunikationsgrundrechten (Meinungs- und Informationsfreiheit) andererseits. Das Verbot personenbezogene Daten zu veröffentlichen, schränkt nämlich grundsätzlich auch die Meinungs- und Pressefreiheit ein, denn jedwede Information zu einer bestimmten Person ist gleichzeitig auch immer ein personenbezogenes Datum.

Man geht daher schon seit langem davon aus, dass es ein Berichterstattungsprivileg geben muss, das die Vorgaben des Datenschutzrechts einschränkt. Ein solches hat der BGH beispielsweise in der Spick-Mich-Entscheidung angenommen und ausgeführt, dass die Meinungsfreiheit und das berechtigte Informationsinteresse das Recht auf informationelle Selbstbestimmung des Betroffenen überwiegen können.

Dieses Medien- oder Berichterstattungsprivileg ist bislang praktisch nicht kodifiziert. Es wäre deshalb naheliegend – zumal wir immer von einer Informationsgesellschaft reden – dass sich der europäische Gesetzgeber dieses zentralen Punkts annimmt, um eine möglichst klare und europaweit einheitliche Regelung zu schaffen.

Um es deutlich zu sagen: Ein strenges Datenschutzregime beinhaltet immer auch eine Einschränkung der Kommunikationsfreiheiten. Es besteht also ein latentes Spannungsverhältnis zwischen dem Recht auf informationelle Selbstbestimmung – als Grundlage des Datenschutzes – und der Meinungs- und Informationsfreiheit. Es ist also aus bürgerrechtlicher Sicht etwas kurzsichtig, sich nur auf einen grundrechtlichen Aspekt zu konzentrieren, ohne die Wechselwirkungen zu beachten.

Leider sind wir von einer differenzierten Diskussion noch meilenwert entfernt. Auf der einen Seiten haben wir Unternehmenslobbyisten, die Datenschutz in der Tendenz primär als Hemmnis sehen, während wir auf der Gegenseite vermeintliche Bürgerrechtler stehen haben, die z.T. bedenkliche und nicht durchdachte Positionen einnehmen.

Wir haben es mit einer Diskussion zu tun, in der es um das Spannungsverhältnis verschiedener Grundrechte geht. Demzufolge ist eine ausdifferenzierte Abwägung erforderlich. Das setzt allerdings die Erkenntnis voraus, dass sowohl die Position der Hardcore-Datenschützer wie auch die der Industrielobbyisten in ihrer Absolutheit falsch ist. Wir leben aber leider in einer Gesellschaft die Kampagnen bevorzugt, die von klaren Schwarz-Weiß-Schemata geprägt sind. Und das spürt man auch bei dieser Diskussion mehr als deutlich.

Zur inhaltlichen Kritik an den Reformplänen der EU hier noch ein Überblick über Blogbeiträge zum Thema:

Hebelt die geplante EU-Datenschutzverordnung deutsche Grundrechte aus?

Der Entwurf einer EU-Datenschutzverordnung in der Kritik

Weitere Kritik an der geplanten EU-Datenschutzverordnung

Alternativentwurf einer EU-Datenschutzverordnung

Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?

Muss unser Datenschutzrecht runderneuert werden?

5 Thesen zur Datenschutz-Verordnung (via Telemedicus)

Das Verwaltungsgericht Schleswig hat in zwei Verfahren des einstweiligen Rechtsschutzes den Anträgen von Facebook stattgegeben.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte Facebook per Verwaltungsakt verpflichtet, registrierte Facebooknutzer aus Schleswig-Holstein, die allein wegen der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt wurden, zu entsperren.

Das Verwaltungsgericht ist nach summarischer Prüfung der Ansicht, dass deutsches Datenschutzrecht nicht anwendbar sei und stellte die aufschiebende Wirkung der Bescheide wieder her, mit der Folge, dass sie vorläufig nicht vollzogen werden können. Die Ansicht des VG halte ich für unzutreffend. Warum deutsches Datenschutzrecht auch für Facebook gilt, habe ich in einem älteren Beitrag ausführlich erläutert.

Die aktuellen Bescheide des ULD sind nach meiner Einschätzung aus anderen Gründen dennoch rechtswidrig.

Die vorliegenden Verfahren werden vermutlich einerseits im Hauptsacheverfahren abschließend entschieden und voraussichtlich aber mindestens bis zum Oberverwaltungsgericht fortgesetzt werden. Es bleibt also spannend.