Internet-Law

Meine Timeline bei Twitter echauffiert sich gerade (wieder einmal) über die Schufa, seit bekannt wurde, dass das Unternehmen ihre Datenbestände jetzt auch um Informationen erweitern will, die aus dem Internet stammen. Der NDR meldet, dass die Schufa zusammen mit dem Hasso-Plattner-Institut plant, Daten von Nutzern aus sozialen Netzwerken und verschiedensten Onlinequellen zu erheben und mit den bestehenden Schufa-Daten zu kombinieren.

Die mediale Empörungsmaschinerie, an deren Spitze man fast erwartungsgemäß u.a. Thilo Weichert und die „Digitale Gesellschaft“ findet, läuft angesichts dieser Meldung gerade auf Hochtouren.

Dass die Schufa aus allgemein zugänglichen Quellen Informationen sammeln möchte, ist allerdings derart naheliegend, dass die Aufregung schon etwas erstaunt. Und auch wenn es den ein oder anderen überraschen mag, die Schufa darf das grundsätzlich auch. Denn die Erhebung und Speicherung personenbezogener Daten zum Zwecke der Übermittlung ist nach § 29 Abs. 1 Nr. 2 BDSG u.a. dann zulässig, wenn die Daten aus allgemein zugänglichen Quellen stammen. Unter den Voraussetzung des § 28b BDSG dürfen diese Daten dann auch für Scoring-Verfahren verwendet werden. Das deutsche Datenschutzrecht sieht also längst vor, dass Auskunfteien wie die Schufa auch im Netz Daten sammeln können, weshalb die künstliche Aufregung von Leuten wie Weichert einmal mehr nur politisch erklärbar ist.

Worin ich das eigentlich größte Problem sehe, ist die Frage, wie die Schufa die Authentizität der Daten gewährleisten will. Denn im Netz kursieren viele falsche Informationen, die Echtheit bzw. eindeutige Personifizierbarkeit von Profilen ist nicht ohne weiteres zu gewährleisten.

Ansonsten dürfte das Vorhaben der Schufa mit geltendem Datenschutzrecht vereinbar sein. Wer hier also einen Skandal wittert, der muss vom Gesetzgeber verlangen, Auskunfteien wie die Schufa entweder abzuschaffen oder gesetzlich deutlich weiter zu beschränken als bisher. Insoweit sollte man aber berücksichtigen, dass es trotz aller Kritik, die man berechtigterweise an der Schufa üben kann, grundsätzlich auch ein nachvollziehbares Bedürfnis dafür gibt, eine Einschätzung der Kreditwürdigkeit und wirtschaftlichen Zuverlässigkeit seines Vertragspartners zu erhalten. Hierauf weist Thomas Knüwer in seinem Blog zu Recht hin.

Die von Kris Köhntopp vertretene Ansicht, dass die Schufa im Falle des Erfolgs des Projekts mit dem HPI künftig ohne Einkommen wäre, vermag ich übrigens nicht zu teilen. Denn die Schufa bekommt ihre Daten derzeit überwiegend von ihren Mitgliedern und diese Daten sind eben gerade nicht öffentlich verfügbar und nicht durch allgemein zugängliche Daten substituierbar. Es handelt sich u.a. um Daten bezüglich abgeschlossener Darlehensverträge und Ratenzahlungsgeschäfte. Wenn die Schufa diese Daten nunmehr mit im Netz verfügbaren Daten kombiniert, erweitert sie nur ihren Datenbestand, aber macht sich nicht selbst überflüssig. Denn die spezifischen Daten, die sie von ihren Mitgliedern erhält, werden auch in Zukunft nicht im Netz zu finden sein.

Update:
Nur zur Klarstellung sei angemerkt, dass wir natürlich noch nicht so ganz genau wissen was die Schufa vor hat – möglicherweise weiß sie das selbst noch nicht genau – weshalb sich über unterschiedliche Sachverhaltsvarianten trefflich spekulieren lässt. Meine Ausführungen bezogen sich auf im Internet allgemein – d.h. grundsätzlich für jedermann – zugängliche Daten. Sollte sich die Schufa, auf welchem Weg auch immer, Daten verschaffen, die nur einem eingeschränkten Personenkreis zugänglich sind, dann wäre das natürlich nicht von der Vorschrift des § 29 BDSG gedeckt. Mittlerweile hat die Schufa laut SPON zumindest aber auch erklärt, dass sich die Pläne nur auf allgemein zugängliche Daten beziehen. Alles andere hätte mich ernstlich verwundert.

Ansonsten sollte niemand darüber erstaunt sein, dass die Schufa die Möglichkeiten auslotet, die ihr das Gesetz bietet. Wenn man jetzt bei SPON liest „Minister wollen Facebook-Schnüffelei stoppen„, dann ist das wiederum nur Ausdruck einer politischen Verlogenheit die man häufig antrifft. Denn es ist gerade die Politik, die diejenigen gesetzlichen Rahmenbedingungen geschaffen hat, die die Schufa jetzt für sich nutzen möchte. Wenn man schon empört ist, dann sollte diese Empörung doch in erster Linie der Politik gelten, die wieder einmal versucht, von sich selbst abzulenken.

Detektor.fm berichtet darüber, dass der FC Bayern München von den Besuchern des morgigen CL-Finales die Angabe von Personen- und Anreisedaten gefordert hat, mit Verweis darauf, dass dies von der UEFA und den örtlichen Polizeibehörden verlangt würde. Das entsprechende Schreiben des Clubs ist bei detektor.fm online. Wie und wofür diese Daten verwendet werden und wie lange sie gespeichert bleiben, besagt das Schreibens des FC Bayern nicht.

Die Münchener Polizeibehörden haben offenbar sogleich dementiert. Das ist wenig überraschend, denn aus polizeirechtlicher Sicht gibt es keine Rechtsgrundlage dafür, die Anreisedaten aller Besucher vorab zu ermitteln.

Ob es seitens der UEFA eine entsprechende Vorgabe gibt, ist offenbar unklar. Sie wäre jedenfalls nicht mit deutschem und europäischem Datenschutzrecht vereinbar, zumal nicht darüber aufgeklärt wurde, was der genaue Zweck der Datenerhebung ist. Vielmehr wird der Eindruck erweckt, der Stadionbesucher müsse diese Daten preisgeben, weil dies eine behördliche Vorgabe sei. Allein damit entfällt aber die Freiwilligkeit der Einwilligung in die Datenverarbeitung.

Das Bayerische Landesamt für Datenschutzaufsicht sollte sich mit diesem Vorgang befassen und diesen datenschutzrechtlichen Verstoß entsprechend ahnden.

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70’er und 80’er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.

Das OVG Münster hat entschieden (Beschluss vom 23.04.2012, Az.: 13 B 127/12), dass ein öffentlich-rechtlicher Unterlassungsanspruch gegen behördliche Warnungen bestehen kann.  Das gilt zumindest dann, wenn Äußerungen einer Behörde gegenüber Medien wie ein Verbot wirken sollen und die Behörde eine solche Wirkung auch angestrebt hat. Hierbei ist primär auf die tatsächlich entstandene Wirkung der Mitteilung abzuheben. Konkret ging es um eine Warnung des Gesundheitsministeriums in NRW vor dem Verkauf sog. E-Zigaretten.

Das Gericht führt zum öffentlich-rechtlichen Unterlassungsanspruch allgemein folgendes aus:

Der öffentlich-rechtliche Anspruch auf zukünftige Unterlassung einer getätigten Äußerung setzt voraus, dass ein rechtswidriger hoheitlicher Eingriff in grundrechtlich geschützte Rechtspositionen oder sonstige subjektive Rechte des Betroffenen erfolgt ist und die konkrete Gefahr der Wiederholung droht. Amtliche Äußerungen haben sich an den allgemeinen Grundsätzen für rechtsstaatliches Verhalten in der Ausprägung des Willkürverbots und des Verhältnismäßigkeitsgrundsatzes zu orientieren. Aus dem Willkürverbot ist abzuleiten, dass Werturteile nicht auf sachfremden Erwägungen beruhen dürfen, d. h. bei verständiger Beurteilung auf einem im Wesentlichen zutreffenden oder zumindest sachgerecht und vertretbar gewürdigten Tatsachenkern beruhen müssen, und zudem den sachlich gebotenen Rahmen nicht überschreiten dürfen (Sachlichkeitsgebot). Rechtliche Wertungen sind auf ihre Vertretbarkeit zu überprüfen. Wenn die Richtigkeit der Information noch nicht abschließend geklärt ist, hängt die Rechtmäßigkeit der staatlichen Informationstätigkeit davon ab, ob der Sachverhalt vor seiner Verbreitung im Rahmen des Möglichen sorgsam und unter Nutzung verfügbarer Informationsquellen sowie in dem Bemühen um die nach den Umständen erreichbare Verlässlichkeit aufgeklärt worden ist. Verbleiben dennoch Unsicherheiten, ist der Staat an der Verbreitung der Informationen gleichwohl jedenfalls dann nicht gehindert, wenn es im öffentlichen Interesse liegt, dass die Marktteilnehmer über einen für ihr Verhalten wichtigen Umstand, etwa ein Verbraucherrisiko, aufgeklärt werden. Es ist dann angezeigt, die Marktteilnehmer auf verbleibende Unsicherheiten über die Richtigkeit der Information hinzuweisen, um sie in die Lage zu versetzen, selbst zu entscheiden, wie sie mit der Ungewissheit umgehen wollen.

Härting zieht eine Parallele zu dem Vorgehen des ULD gegen den Facebook-Like-Button und Fanpages bei Facebook. Die Aufforderung gegenüber allen Webseitenbetreibern in Schleswig-Holstein ihre Facebook-Like-Buttons zu entfernen, verbunden mit der Androhung von Untersagungsverfügungen und Bußgeldern, stellt eine amtliche Äußerung mit Eingriffscharakter dar, so dass hiergegen grundsätzlich der Weg zu den Verwaltungsgerichten offen stehen dürfte.

Facebook hat vor kurzem eine Timeline (Chronik) eingerichtet, in der die verschiedensten Aktivitäten eines Facebooknutzers öffentlich – oder auch eingeschränkt, wenn man die standardmäßigen Privatsphäreneinstellungen entsprechend abändert – angezeigt werden. Um beobachten zu können, was diese neue Chronik per default so alles preisgibt, habe ich meine Privatsphäreneinstellungen bewusst unverändert gelassen und es ganz gezielt vermieden, irgendeinen Bestätigungsbutton anzuklicken.

Die Preisgabe der Information, dass ich beispielsweise etwas in die Gruppe „Netzpolitik“ poste, erscheint mir naheliegend, zumal ich ja möchte, dass das gelesen wird. Dass in meiner Chronik allerdings auch Einträge erscheinen wie „Thomas hat einen Artikel gelesen.“, einschließlich des Links auf den gelesenen Artikel, ist weniger harmlos. Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt. Im konkreten Beispielsfall hatte ich in der Facebook-Gruppe „Netzpolitik“ auf einen Link geklickt, der zu einem Artikel des britischen Guardian führte.

Die Preisgabe dieser Information ist ohne meine ausdrückliche Einwilligung allerdings datenschutzwidrig und verletzt grundsätzlich auch mein allgemeines Persönlichkeitsrecht. Denn ehrlich gesagt, möchte ich weder die Allgemeinheit noch meine Facebook-Freunde ständig darüber informieren, was ich online lese. Auch wenn Facebook mittlerweile bei den Privatsphäreneinstellungen relativ viele Möglichkeiten anbietet, lässt sich speziell der genannte Aspekt wohl auch nicht einzeln deaktivieren. Man kann diesen Eintrag nur nachträglich aus der Chronik ausblenden. Wer nur die Einstellung gewählt hat, dass seine Postings öffentlich sein sollen, muss noch lange nicht damit rechnen, dass er damit auch in die Preisgabe der von ihm angeklickten Links einwilligt.

Bereits der Umstand, dass Facebook das gesamte Nutzungsverhalten eines jeden Facebooknutzers lückenlos aufzeichnet, verstößt gegen das Datenschutzrecht und zwar selbst dann, wenn der Nutzer den Datenschutzbestimmungen von Facebook ausdrücklich zugestimmt haben sollte. Denn der Nutzer wird von Facebook erst gar nicht darüber informiert, dass sein gesamtes Nutzungsverhalten lückenlos getrackt wird und damit Bewegungsprofile erstellt werden.

Die Zustimmungserklärung, die Facebook versucht den Nutzern unterzujubeln, entspricht ohnehin nicht den Anforderungen von § 4a BDSG. Das bedeutet, dass kein deutscher Nutzer von Facebook den Datenschutzbestimmungen in rechtswirksamer Weise zustimmen wird oder zugestimmt hat. Das ist allerdings ein Umstand, der Facebook wenig zu kümmern scheint.

Facebook verstößt weiterhin konsequent gegen deutsches und europäisches Datenschutzrecht, an das es allerdings gebunden ist.

Das hier vor einigen Tagen bereits erwähnte Urteil des Landgerichts Berlin mit dem der Facebook FreundeFinder als wettbewerbswidrig und verschiedene Bestimmungen der Nutzungs- und Datenschutzbedingungen als unwirksam qualifiziert wurden, liegt mittlerweile im Volltext vor, weshalb eine genauere Analyse möglich ist.

Die Ausführungen des Gerichts zum FriendFinder sind durchaus erstaunlich. Denn das Gericht stuft den einladenden Nutzer und Facebook als Mittäter einer Direktwerbung ein. Mit anderen Worten: Die Einladungsmail wird vom Gericht als Spam eingestuft und Facebook und der Nutzer spammen gemeinschaftlich. Die Annahme einer Mittätereigenschaft halte ich schon deshalb für problematisch, weil der Nutzer in seiner Person die Voraussetzungen des UWG regelmäßig nicht erfüllt und deshalb als Täter nicht in Frage kommt. Er könnte danach nur Teilnehmer sein. Unabhängig von dieser rechtsdogmatischen Frage muss man aber feststellen, dass Facebook das vom Gericht im Tatbestand dargestellte Prozedere in dieser Form ohnehin nicht mehr praktiziert, weshalb das Urteil in diesem Punkt ohnehin den aktuellen Sachstand nicht mehr abbildet. Die Urteilsbegründung ist an dieser Stelle in ihrer allgemeinen Form generell problematisch, weil man diese Argumentation auf jedes beliebiges Benachrichtigungssystem anwenden könnte.

Die Einschätzung zu den Nutzungs- und Datenschutzbestimmungen teile ich im Ergebnis weitgehend, allerdings nicht durchgehend in der Begründung. Die sog. IP-Lizenz – also die weitreichende Einräumung von urheberrechtlichen Nutzungsrechten an Facebook durch den Nutzer – sollte man nicht unbedingt an der Zweckübertragungsregel des § 31 Abs. 5 UrhG messen. Die dahinterstehende Grundannahme des Gerichts, dass das Urheberrecht die Neigung hat im Zweifel beim Urheber zu verbleiben, führt m.E. allerdings dazu, dass eine Rechtseinräumung, die über ein einfaches, jederzeit widerrufliches Nutzungsrecht hinausgeht, als überraschende Klausel im Sinne von § 305c BGB anzusehen ist.

Man darf gespannt sein, wie das Kammergericht die Klauseln beurteilen wird, denn dass Facebook Berufung einlegen wird, darf man annehmen.

Das Landgericht Berlin hat mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Das geht aus einer Pressemitteilung der Verbraucherzentrale Bundesverband hervor, die die Klage gegen Facebook angestrengt hat. Auch das Landgericht Berlin hat mittlerweile eine Pressemitteilung veröffentlicht.

Damit ist zudem klargestellt, dass das Landgericht Berlin einen Gerichtsstand in Deutschland sowie die Anwendbarkeit des deutschen Rechts bejaht hat.

Interessant wird die Frage sein, wie Facebook auf die Entscheidung reagiert und wo und wie das Urteil notfalls vollstreckt werden soll. Vermutlich wird Facebook aber zunächst Berufung zum Kammergericht einlegen.

Update:
Der Kollege Carsten Ulbricht hat sich noch etwas ausführlicher mit dem Fall beschäftigt und vertritt u.a. die Ansicht, dass Facebook das Urteil, sollte es rechtskräftig werden, nicht einfach ignorieren kann. Das Urteil wird von der vzbv sicherlich mit den Mitteln des Ordnungsgeldes und ggf. der Ordnungshaft vollstreckt werden, sollte sich Facebook nicht an den Urteilsspruch halten. Auch wenn ein Ordnungsgeld von bis zu 250.000 EUR für ein Unternehmen wie Facebook zunächst noch keine sehr große Keule sein dürfte, wäre eine Ordnungshaft gegen den Geschäftsführer / Vorstand von Facebook Ireland dann aber doch eine interessante Sache.

Lese gerade bei Richard Gutjahr einen Blogbeitrag über Direktmarketing und Adresshandel in Deutschland. Was Richard dort beschreibt, ist alles überhaupt nicht neu, aber andererseits keineswegs so im öffentlichen Bewusstsein verankert, wie es vielleicht nötig wäre, um zu erkennen, dass sich die Aufregung über Google oder Facebook relativieren muss, wenn man die einheimischen Sauereien im Bereich des Datenschutzes in die Betrachutng einbezieht.

Einer der aktiven Player im inländischen Adresshandel ist übrigens der Staat selbst, in Person der Kommunen.

Wenn man sich diesem Phänomen annähert, sollte einem der Begriff des Listenprivilegs vertraut sein, der auch in Gutjahrs Blogpost angesprochen wird. Das Listenprivileg ist eine von Lobbyisten durchgesetzte Ausnahmeregelung im Bundesdatenschutzgesetz (BDSG), die es ermöglicht, listenmäßig zusammengefasste personenbezogene Daten zu Zwecken der Werbung und des Adresshandels auch ohne Einwilligung des Betroffenen zu verarbeiten und an Dritte weiterzugeben. Das sog. Listenprivileg ist in § 28 Abs. 3 S. 2 und § 29 Abs. 2 S. 2 BDSG verankert. Die Bundesregierung wollte dieses Listenprivileg im Zuge der Novellierung des BDSG im Jahre 2009 eigentlich abschaffen und durch eine Einwilligungsregelung ersetzen, ist dann aber letztlich wieder vor der Direktmarketing-Lobby eingeknickt.

Die Datenschützer haben sich zwar auch gegen das Listenprivileg gewandt, allerdings nicht annähernd so vehement, wie man aktuell gegen Google oder Facebook kämpft. Insgesamt eine sehr deutsche Story wie ich finde.

Die E-Kommission hat vor einigen Wochen die Entwurfsfassung einer geplanten Datenschutzverordnung (Datenschutz-Grundverordnung) veröffentlicht, zusammen mit weiteren Entwürfen und Materialien.

Insbesondere aus Kreisen der Rechtswissenschaft und von einem Richter am Bundesverfassungsgericht wurde Kritik an den Plänen geäußert. Neben mir hat auch Simon Möller bei Telemedicus kritisch zu dem Verordungsentwurf gebloggt.

Die beiden Rechtsanwälte Jochen Schneider und Niko Härting – zwei äußerst renommierte IT-Rechtler – haben sich nunmehr ebenfalls äußerst kritisch mit der geplanten Verordnung auseinandergesetzt. Härting und Schneider fordern bereits seit einiger Zeit eine vollständige Neugestaltung des Datenschutzrechts.

An dem Verordnungsentwurf bemängeln Schneider/Härting u.a., dass das datenschutzrechtliche „Medienprivileg“ nicht weiter ausgearbeitet wird und das Spannungsverhältnis zwischen Datenschutzrecht einerseits und Meinungs- und Medienfreiheit andererseits nicht aufgelöst wird. Außerdem kritisieren die beiden Juristen die Beibehaltung des datenschutzrechtlichen Verbotsprinzips sowie den Umstand, dass die Unterscheidung personenbezogene und nicht personenbezogene Daten nach einem strikten Schwarz-Weiß-Prinzip beibehalten wird.

Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.

Google  will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.

Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.

Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:

Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.

Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:

Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:

• Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
• Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
• IP-Adresse.
• Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
• Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:

Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.

Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.

Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:

Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.

Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.

Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.

Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).

Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.

Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.

Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.

Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.