Internet-Law

Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

Es kommt wohl nicht von ungefähr, dass Netzpolitik bzw. die dazugehörige Gesetzgebung in Deutschland von Ausschüssen für Agrarpolitik und Verbraucherschutz bestimmt wird. Die vom Bundesrat auf Vorschlag des besagten Ausschusses bereits beschlossenen Änderungen des Telemediengesetzes bewirken das prinzipielle Ende von Cookies oder wahlweise neue Pop-Up-Gewitter (§ 13 Abs. 8 TMG neu).

Nach dem geplanten §13a TMG sollen die Anbieter, insbesondere sozialer Netze, verpflichtet werden, die Voreinstellungen auf die „höchste Sicherheitsstufe gemäß dem Stand der Technik“ zu setzen. Was von dieser geplanten Neuregelung zu halten ist, habe ich bereits vor einiger Zeit erläutert.

Der Bundesdatenschutzbeauftragte Peter Schaar hat letzten Freitag ein neues Programm namens Prividor vorgestellt, das Datenschutzverletzungen auf Websites aufspüren soll, u.a. den Einsatz von Tracking-Tools. Das impliziert die Behauptung, Tracking würde eine Datenschutzverletzung darstellen und wirft die Frage auf, ob das was Schaar vorhat, nicht ebenfalls Tracking ist.

Die deutschen Datenschutzbehörden haben sich in letzter Zeit bereits mehrfach als Steinewerfer im Glashaus entpuppt, die nicht in der Lage sind, ihre eigenen hochgesteckten Standards einzuhalten.

Bevor die Datenschutzbeauftragten von Bund und Ländern in einem rechtlichen Graubereich Fakten schaffen – Tracking ist nämlich keineswegs unstreitig und in jedem Fall datenschutzwidrig – wäre der (europäische) Gesetzgeber gut beraten, klare Regelungen zu schaffen und den Irrweg, den er mit der „Cookie-Richtlinie“ beschritten hat, wieder zu verlassen. Ein gewisse Entspannung würde dem Datenschutzrecht gut tun und könnte dazu führen, dass die Regelungen endlich auch in der Praxis funktionieren.

Heise berichtet über einen aktuellen Fall in dem der niedersächsische Datenschutzbeauftragte den Einsatz des Werbeprogramms Google AdSense, des Amazon Partnerprogramms und des IVW-Pixels als datenschutzwidrig beanstandet hat und zudem das Webhosting als Auftragsdatenverarbeitung (i.S.v. § 11 BDSG) qualifiziert. Dem Betreiber von zwei Internetforen wurde aufgegeben, die Übermittlung personenbezogener Daten über die Dienste Google AdSense, Amazon Einzeltitel-Links sowie IVW-Box einzustellen und die Anwendungen aus dem Quelltext zu entfernen. Aus dem Schreiben des Landesbeauftragten für den Datenschutz – das mir vorliegt – ergibt sich zudem, dass die Datenschutzbehörde der Ansicht ist, beim Hosting würde eine sog. Auftragsdatenverabeitung nach § 11 BDSG stattfinden. Der Forenbetreiber wurde aufgefordert, die Zulässigkeit der Auftragsdatenverarbeitung durch seinen Host-Provider (Host Europe) nachzuweisen.

Die Datenschützer schießen  mit solchen Maßnahmen sehr weit über das Ziel hinaus. Die konsequente Schlussfolgerung aus der Haltung des niedersächsischen Datenschutzbeauftragten ist letztlich die, dass sämtliche Websites, die Werbung mit Hilfe von Partnerprogrammen bzw. des Affiliate-Marketing treiben, gegen das Datenschutzrecht verstoßen.

Wenn man zudem das Hosting, wie es der Landesdatenschutzbeauftragte tut, als Auftragsdatenverarbeitung im Sinne von § 11 BDSG begreift, müssten damit eigentlich fast alle deutschen Websites vom Netz genommen werden und Massenhoster wie 1&1 und Strato könnten ihr Geschäft sofort einstellen.  Denn wenn die Rechtsansicht der Datenschutzbehörde zutreffend wäre, würde dies bedeuten, dass  jeder Webseitenbetreiber mit seinem Host-Provider eine schriftliche Vereinbarung über eine Auftragsdatenverarbeitung abschließen müsste, die die äußerst strengen Anforderungen von § 11 Abs. 2 BDSG erfüllt. Die Haltung des niedersächsischen Landesbeauftragten kann man daher getrost als aberwitzig bezeichnen.

Für mich ist das Vorgehen der Datenschützer aber auch ein weiterer Beleg dafür, dass das deutsche und europäische Datenschutzrecht nach wie vor den Anforderungen des Internetzeitalters nicht gewachsen ist und die Datenschutzbehörden dieses Problem durch eine exzessive Auslegung datenschutzrechtlicher Bestimmungen noch zusätzlich befeuern.

Das ist auch deshalb fragwürdig, weil die Datenschutzbehörden oft genug die von ihnen gestellten Anforderungen selbst nicht erfüllen. Das habe ich hier vor einiger Zeit am Beispiel des Hamburger Datenschutzbeauftragten schon dargestellt.

Für den hier agierenden niedersächsischen Datenschutzbeauftragten gilt nichts anderes, wie ein Blick in seine eigene Datenschutzerklärung zeigt. Dort werden zunächst mit dem TDG und dem MDStV gesetzliche Regelungen genannt, die es seit Jahren nicht mehr gibt.

Die Datenschutzerklärung genügt aber auch den Vorgaben der geltenden gesetzlichen Regelungen des § 13 TMG nicht. Der Datenschutzbeauftragte informiert nicht ausreichend über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten. Insbesondere wird nicht erklärt, welche Daten beim Aufruf des Servers „lfd.niedersachsen.de“ genau erhoben werden. Wenn Daten, wie angeben, in einer Protokolldatei gespeichert werden, dann dürfte es sich hierbei um nichts anderes als die Logdateien des Webservers handeln. Und dort werden dann gerade auch die IP-Adressen der Anfragenden erfasst. Man muss also, ausgehend von der eigenen Datenschutzerklärung des Datenschutzbeauftragten, annehmen, dass der Webserver „lfd.niedersachsen.de“ IP-Adressen speichert und zwar für einen Zeitraum von zwei Monaten.

In der Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten heißt es ferner, dass alle allgemein zugänglichen Seiten benutzt werden können, ohne dass Cookies gesetzt werden. Diese Aussage ist schlicht falsch. Bereits beim Aufruf der Privacy-Seite setzt der Server des Landesbeauftragten ein Cookie, wie der nachfolgende Screenshot zeigt:

Die Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten ist im Ergebnis also veraltet, unvollständig und falsch. Belegt wird dadurch einmal mehr, dass die Datenschutzbehörden, die hohen Anforderungen, die sie anderen abverlangen, selbst nicht erfüllen.

Die sog. „Art. 29-Gruppe“ der EU, ein Gremium von Datenschützern, hat am 22.06.2010 eine Stellungnahme zum Thema „Online Behavioural Advertising“ veröffentlicht, in der kritsiert wird, dass die Online-Werbung vielfach nicht den Vorgaben des europäischen Datenschutzrechts entspricht.

Der Bundesdatenschutzbeauftragte Schaar, der Mitglied der Gruppe ist, weist in einer Pressemitteilung u.a. darauf hin, dass Cookies oft ohne ausdrückliche Einwilligung des Nutzers auf dessen Rechner abgelegt werden und auch bei der Sammlung von Nutzerdaten häufig nicht ausreichend informiert wird.

In Fefes Blog war gestern folgendes zu lesen: „Kurze Durchsage der EU: Web-Cookies sind ab jetzt genehmigungspflichtig“.

Damit meint er wohl den im Rahmen des Telekompakets erarbeiteten Richtlinienvorschlag (2007/0248/COD) der u.a. eine Ergänzung der Richtlinie 2002/58/EC (Datenschutzrichtlinie für elektronische Kommunikation) in seinem Artikel 5(3) vorsieht. Das Verfahren ist m.W. noch nicht abgeschlossen, da die 3. Lesung im EU-Parlament noch nicht stattgefunden hat. Allerdings handelt es sich bei der letzten Textfassung um denjenigen Kompromiss zu dem alle Seiten Zustimmung signalisert haben, weshalb mit Widerstand des Parlaments nicht mehr zu rechnen ist. Die aktuelle (deutschsprachige) Vorschlagsfassung zur Änderung von Artikel 5 Abs. 3 der Richtlinie lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat . Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann .

Diese Neufassung ist kritikwürdig, zumal ein früherer Entwurf die durchaus sinnvolle Regelung enthielt, dass die Browsereinstellungen die notwendige Zustimmung des Nutzers indizieren. Die Regelung zielt in der Tat auf sog. Cookies ab und ist auch hierzulande bereits in der Presse diskutiert worden, ohne, dass es zu einem großen Aufschrei gekommen wäre.

Diese Änderung wird vermutlich vermehrte Belehrungen durch PopUp-Fenster und/oder spezielle Landing-Pages zur Folge haben, was bei Internetnutzern erfahrungsgemäß wenig beliebt ist.

Ob damit der beabsichtigte Zweck, ein höheres Datenschutzniveau im Web zu gewährleisten, erreicht werden kann, darf bezweifelt werden. Die User werden diese Belehrungen nämlich überwiegend genervt wegklicken bzw. zügig durch den OK-Button bestätigen, ohne die Information überhaupt wahrgenommen zu haben.

Das Datenschutzrecht ist, wenn es funktionieren soll, aber letztendlich auf die Akzeptanz derjenigen angewiesen, die es schützen möchte. Ein Umstand, den professionelle Datenschützer oft nicht hinreichend beachten. Die Entwicklung im Netz hat dazu beigetragen, dass die gesetzlichen Regelungen und das tatsächliche Datenschutzniveau immer weiter auseinanderdriften, weil sowohl diejenigen die Daten verarbeiten als auch diejenigen, deren Daten geschützt werden wollen, nicht in ausreichendem Maße Verständnis für derartige Regelungen aufbringen. Dass man dieses Dilemma nicht auflöst, sondern eher verstärkt, indem man die gesetzlichen Anforderungen immer weiter verschärft, ist bei den politischen Entscheidern offenbar immer noch nicht angekommen.

Die fast logische Konsequenz ist, dass die neuen Regeln immer weniger beachtet werden.

Vielleicht sollte man sich deshalb, gerade bei einem Thema wie dem Datenschutz, das wirklich jeden betrifft, stärker mit der Frage beschäftigen, was sich die Menschen für eine Regelung wünschen, bzw. ob sie mit dem derzeitigen Rechtszustand zufrieden sind. Gerade auf Ebene der EU muss man lernen, die Menschen nicht nur eindimensional als Verbraucher, sondern vielmehr als Bürger wahrzunehmen.

Und es gibt ehrlich gesagt auch ganz andere datenschutzrechtliche Probleme in Europa. Solange es die EU erlaubt, dass Bankdaten ihrer Bürger in die USA übermittelt werden, mutet eine gesetzliche Regelung zu Cookies als eher lächerlich an.

Diese neuen Regeln werden die Nutzer vor allen Dingen nerven, die Seitenbetreiber mit zusätzlichen Pflichten belasten und insgesamt die Useability beeinträchtigen.

Es gibt sicher Gründe, die „Kekse“ als nicht ganz unbedenklich einzustufen. Aber der Nutzer hat durch Änderung seiner Browsereinstellungen auch die Möglichkeit selbst zu steuern, ob und in welchem Umfang er Cookies akzeptieren will. Vielleicht sollte die EU einfach stärker auf die Aufklärung und auf mündige Bürger – nicht Verbraucher – setzen. Durch Regelungen wie diese wird eine möglicherweise gute Absicht in ihr Gegenteil verkehrt und der bestehende Unmut gegenüber den Institutionen der EU nur noch verstärkt.

Update:

Weil offenbar z.T. immer noch die Vorstellung existiert, dass die Browsereinstellungen des Nutzers für eine Einwilligung reichen würden, nochmal der Hinweis dass die Formulierung

„sofern der betreffende Teilnehmer oder Nutzer nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt“

die in einem früheren Entwurf noch vorhanden war, in der letzten Fassung wieder gestrichen worden ist. Dadurch wird deutlich, dass die Browsereinstellung gerade nicht als Einwilligung ausreichen soll. Und auch nach allgemeinen juristischen Auslegungskriterien wird hierin schwerlich eine Einwilligung im datenschutzrechtlichen Sinne gesehen werden können. Im Widerspruch hierzu scheint Erwägungsgrund 66 darauf hinzudeuten, dass die Browsereinstellung des Nutzers vielleicht doch als Einwilligung angesehen werden können. Dieser Erwägungsgrund verweist freilich wiederum auf die Datenschutzrichtlinie und dort ist unter Einwilligung eine (ausdrückliche) Willensbekundung zu verstehen, was mit Default-Einstellungen des Browsers schwierig in Einklang zu bringen ist. Handwerklich aber einmal mehr schlecht gemacht.