Internet-Law

Onlinerecht und Bürgerrechte 2.0

1.8.18

Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?

In letzter Zeit liest man immer wieder, dass Schulen und Kindergärten das Fotografieren auf Festen und anderen Veranstaltungen der Einrichtung, an denen Eltern und Angehörige teilnehmen, verbieten. Zumeist mit dem Argument, die Datenschutzgrundverordnung (DSGVO) würde dies verlangen. Über einen solchen Fall berichtet aktuell beispielsweise die Lausitzer Rundschau.

Man wird vermutlich schon darüber diskutieren können, ob die Schulleitung das Fotografieren und Filmen auf Veranstaltungen der Schule kraft ihres Hausrechts untersagen kann. Das Datenschutzrecht verlangt ein solches Verbot allerdings nicht.

Die DSGVO ist in den Fällen, in denen Eltern oder andere Angehörige Fotos anfertigen, auf denen neben ihren eigenen Kindern auch fremde Kinder zu sehen sind, nämlich schon gar nicht anwendbar. Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.

Davon strikt zu trennen ist allerdings die Frage, ob solche Fotos anschließend z.B. in sozialen Netzen veröffentlicht werden können. Diese Frage wurde im deutschen Recht, jedenfalls bis zum Wirksamwerden der DSGVO, im sog. Kunsturheberrechtsgesetz (KUG) geregelt. Ob das KUG weiterhin anwendbar ist oder durch die DSGVO verdrängt wird, ist juristisch umstritten. Ungeachtet der Frage, ob das KUG oder die DSGVO diese Frage regelt, bedarf es im Falle der Veröffentlichung von Bildmaterial, auf dem Personen erkennbar sind, grundsätzlich einer Einwilligung des Abgebildeten. We also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.

Schulen und Kindergärten schießen, wenn sie das Fotografieren verbieten, also über das Ziel hinaus. Was die Anfertigung von Fotos betrifft, hat sich die Rechtslage seitdem die DSGVO gilt, nicht verändert. Was wir hier erleben, ist lediglich eine gefühlte Verschärfung des Datenschutzrechts.

posted by Stadler at 21:13  

7.7.18

Störerhaftung jetzt auch im Datenschutzrecht?

Der Europäische Gerichtshof (EuGH) hat vor einigen Wochen (Urteil vom 05.06.2018, Az.: C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage (neben Facebook) als datenschutzrechtlich Verantwortlicher zu betrachten ist. Der EuGH macht zunächst deutlich, dass er eine weite Definition des Begriffs des „Verantwortlichen“ präferiert, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Fanpage beteiligt sich durch die Unterhaltung der Fanseite an der Datenverarbeitung und ist daher gemeinsam mit Facebook Irland als für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Die Entscheidung wird, jedenfalls was die Frage des Verantwortlichen angeht, auch auf die DSGVO Anwendung finden.

Es ist nach dieser Lesart also keinesfalls so, dass der Verantwortliche, was der englische Begriff des Controllers nahelegen würde, den Prozess der Datenverarbeitung steuern und kontrollieren muss. Vielmehr genügt auch ein (untergeordneter) Beitrag, um zum gemeinsamen Verantwortlichen zu werden. Damit hat der EuGH eine Art Störerhaftung im Bereich des Datenschutzes geschaffen, die es ermöglicht, nahezu beliebige (kausale) Beiträge als verantwortungsbegründend zu qualifizieren.

Insoweit verbleibt aber die dogmatische und auch rechtspolitische Frage, ob es wirklich sachgerecht ist, neben dem Hauptverantwortlichen, der den Datenverarbeitungsvorgang tatsächlich steuert und kontrolliert, jeden als Verantwortlichen zu begreifen, der einen Beitrag zu einer (fremden) Datenverarbeitung leistet. Der EuGH betont in seiner Entscheidung zwar, dass die bloße Nutzung eines sozialen Netzwerks nicht ausreichend sein soll, um den Nutzer zum Mitverantwortlichen zu machen. Konsequent erscheint diese Einschränkung im Lichte der weiten Auslegung des EuGH aber nicht. Denn wer als Nutzer Inhalte postet – und nichts anderes macht der Betreiber einer Fanseite am Ende auch – trägt dazu bei, dass Facebook das Verhalten anderer Nutzer, die die geposteten Inhalte lesen oder betrachten, auswerten kann. Mithin leistet man nach der Logik des EuGH also bereits durch das bloße Einstellen von Inhalten in ein soziales Netzwerk einen kausalen Beitrag für eine sich anschließende Datenverarbeitung von Facebook. Diese Konsequenz will der EuGH freilich nicht ziehen, weil man damit jeden Nutzer eines sozialen Netzwerks als Verantwortlichen einstufen müsste.

Es zeigt sich auch hier wieder etwas, was man seit Jahren beobachten kann. Die konsistente Anwendung des Datenschutzrechts würde die Nutzung des Internets wie wir es kennen und wie es von einer Mehrzahl der Menschen genutzt wird, deutlich beeinträchtigen. Weil aber weder der Gesetzgeber noch die Gerichte diese Konsequenz ziehen wollen, kommt es immer wieder zu widersprüchlichen datenschutzrechtlichen Schlussfolgerungen, die zu Rechtsunsicherheit führen.

posted by Stadler at 15:18  

24.5.18

Was bedeutet die Datenschutzgrundverordnung für Blogger und Webseitenbetreiber?

Nicht nur mich erreichen in letzter Zeit immer wieder Anfragen von besorgten Bloggern, ob sie ihr Blog wegen der ab 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO) nicht besser vom Netz nehmen sollten. Die Unsicherheit ist enorm. Bei Privatleuten, die im Internet präsent sind, ebenso wie bei Unternehmern und Freiberuflern. Es ist der Eindruck entstanden, dass die datenschutzrechtlichen Anforderungen durch die DSGVO erheblich ansteigen, was allenfalls zum Teil richtig ist. Vieles von dem, was die DSGVO verlangt, entspricht schon seit Jahren der geltenden Rechtslage in Deutschland, aber es gibt auch neue bzw. geänderte Anforderungen und eine ganze Reihe von Unklarheiten. Der folgende Beitrag versucht, einige der zentralen Aspekte zu beleuchten, auf die Blogger und Webseitenbetreiber achten müssen.

Die erste Frage, die sich viele stellen: Muss ich als nichtkommerzieller Blogger oder Webseitenbetreiber die DSGVO überhaupt beachten? Die Antwort lautet: In aller Regel ja. Die DSGVO gilt auch für Privatleute, es sei denn, die Datenverarbeitung erfolgt ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten. Diese Ausnahme wird sehr eng verstanden. Ein Blog, das sich an eine allgemeine Öffentlichkeit richtet, fällt nicht mehr unter diese Ausnahme.

Am Anfang aller Überlegungen sollte die Frage stehen, welche Daten beim Betrieb des eigenen Blogs überhaupt erhoben und verarbeitet werden. Denn davon hängt es ab, welche Maßnahmen ergriffen werden müssen, um das Blog oder die Website datenschutzkonform betreiben zu können. Wer sich da unsicher ist, sollte zunächst mittels Tools wie Ghostery überprüfen, welche Tracking Tools sich im Einsatz befinden. Der pragmatische Tipp für diejenigen, die bislang noch gar nichts unternommen haben, ist es, zunächst zumindest das anzugehen, was man nach außen hin sieht und das ist bei einem Blog vor allem die Datenschutzerklärung.

Die Diskussion rund um die DSGVO hat mittlerweile hysterische Züge angenommen. Die Aufregung wird sich vermutlich sehr bald legen, denn es wird zunächst gar nichts passieren. Die Aufsichtsbehörden werden Blogger und Webseitenbetreiber, wenn überhaupt, zunächst anhören, auf Verstöße hinweisen und ggf. (kostenfrei) verwarnen. Es ist kaum damit zu rechnen, dass es hier bei einem Erstverstoß zur Verhängung von Geldbußen kommen wird.

Auch die vielbeschworene Abmahngefahr wird in der Diskussion stark übertrieben. Insoweit ändert sich an der bestehenden Rechtslage nichts, das juristische Risiko wegen eines Datenschutzverstoßes wettbewerbsrechtlich abgemahnt zu werden, hat sich nicht erhöht. Verstöße gegen datenschutzrechtliche Vorschriften wurden schon bislang von den Gerichten häufig für wettbewerbsrechtlich relevant erachtet. Es wird jetzt im Gegenteil sogar die Auffassung vertreten, dass Verstöße gegen die DSGVO nicht mehr nach § 3a UWG verfolgt werden könnten. Es ist allerdings nicht unbedingt davon auszugehen, dass sich diese Ansicht tatsächlich durchsetzen wird.

Neue Datenschutzerklärung

Viele Blogger haben bereits jetzt eine Datenschutzerklärung online. Die sollte nunmehr sinnvollerweise neu gestaltet werden, weil die Anforderungen der DSGVO andere sind als sie es nach dem TMG waren. Der notwendige Inhalt einer Datenschutzerklärung ergibt sich aus Art. 13 DSGVO. Tools wie der Datenschutzgenerator von Thomas Schwenke helfen bei der Erstellung der Datenschutzerklärung, wenn man keinen Anwalt beauftragen will. Auch die ausführlich erläuterte Musterdatenschutzerklärung von Hören, ist als Orientierungshilfe gut geeignet ist. Meine eigene Datenschutzerklärung finden Sie hier.

Wichtig ist, dass die Datenschutzerklärung diejenige Datenverarbeitung abbildet, die tatsächlich stattfindet. Man stößt immer wieder auf Datenschutzerklärungen, die offenbar nur unreflektiert per Copy & Paste übernommen worden sind und Tools benennen, die auf der Website gar nicht eingesetzt werden, während andere Datenverarbeitungsvorgänge, die offensichtlich stattfinden, gar nicht erwähnt werden. Bislang besteht eine gewisse Neigung zu sehr ausführlichen, zum Teil ausufernden Datenschutzerklärungen, die manchmal auch deshalb so lang sind, weil stellenweise lediglich der Gesetzeswortlaut wiederholt wird. Eine eher knappe Datenschutzerklärung hat demgegenüber allerdings den Vorteil, dass die notwendigen Informationen noch am ehesten bei den betroffenen Nutzern ankommen.

Man muss in der Datenschutzerklärung u.a. Serverlogs, WordPress-Plugins, Tracking- und Statistiktools wie Google Analytics oder Matomo abbilden, ebenso wie Social-Media-Plugins, Kommentarfunktionen, Spamfilter wie Akismet, Newsletterdienste wie MailChimp oder die Einbindung fremde Inhalte z.B. via YouTube oder Instagram. Auch die Datenverarbeitung durch Marketing-Tools ist darzustellen.

Verschlüsselung

Aus Art. 32 DSGVO ergibt sich nunmehr explizit, dass ggf. eine Pseudonymisierung und Verschlüsselung personenbezogener Daten zu erfolgen hat, wenn dies nach Durchführung einer Risikoabwägung geboten erscheint. Aufgrund dieser Regelung wird empfohlen, Websites generell mit einer SSL-Verschlüsselung zu versehen. Aus meiner Sicht wird man jedenfalls dann, wenn eine direkte Kommunikation mit dem Nutzer z.B. über Kontaktformulare stattfindet, vertreten können, dass eine Verschlüsselung erforderlich sein kann. Aber auch in diesem Fall wird weiterhin die Möglichkeit bestehen, den Nutzer darauf hinzuweisen, dass die von ihm eingegebenen Daten unverschlüsselt übermittelt werden. Was die Kommentarfunktion angeht, kann das, was ohnehin vom Nutzer bewusst öffentlich gepostet wird, auch zuvor unverschlüsselt übertragen werden, weil es ohnehin öffentlich zugänglich wird. Anders mag dies sein, wenn Informationen zur Person des Nutzers übermittelt werden, die nicht veröffentlicht werden. Aus Datenschutzsicht ist es sinnvoll, möglichst wenig zu speichern und von vornherein anonyme Kommentare zuzulassen. Hier gibt es aber bekanntlich unterschiedliche Philosophien und sicherlich auch Gründe, keine anonymen Postings zuzulassen. Eine allgemeine Verschlüsselungspflicht lässt sich aus Art. 32 DSGVO, entgegen anderslautender Aussagen, nicht ableiten. Gleichwohl kann die Risikoabwägung im Einzelfall zur Annahme einer Verschlüsselungspflicht führen. Wer hier Diskussionen vermeiden will, sollte im Zweifel ein SSL-Zertifikat einrichten.

Einsatz von Tracking-Tools und Cookies

Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) hat vor vier Wochen ein Positionspapier veröffentlicht, das für erhebliche Aufregung und auch zu deutlicher Kritik geführt hat. Die Aufsichtsbehörden vertreten hierbei die Auffassung, dass Tracking-Tools ab dem 25.05.2018 nur noch mit Einwilligung des Nutzers legal eingesetzt werden können. Diese Haltung ist nicht nur von Branchenverbänden wie Bitkom, sondern auch von Datenschutzfachleuten wie Stephan Hansen-Oest oder  Nils Haag kritisiert worden.

Abgesehen davon, dass das Papier der DSK keine tragfähige Begründung enthält, verstärkt es nur die Tendenz zum Wegklick-Internet und schafft keinen datenschutzrechtlichen Mehrwert. Es wird interessant sein zu sehen, wie gerade große Websites auf das Papier reagieren werden. Wenn man bedenkt, dass die großen Medien- und Verlagsseiten durchgehend Tracking Tools in zweistelliger Anzahl einsetzen, erscheint die Einholung von Einwilligungen für jedes einzelne dieser Tools kein wirklich realistisches Szenario zu sein.

Möglicherweise wird die DSGVO beim Thema Werbung/Marketing sogar eine deutlich liberalere Praxis etablieren, als dies bisher in Deutschland der Fall war. Denn Art. 6 Abs. 1 f) DSGVO betrachtet laut der Erwägungsgründe beispielsweise das Interesse von Unternehmen Werbung zu treiben ausdrücklich als schützenswert und es muss dann schon ein überwiegendes grundrechtliches Interesse des betroffenen Nutzers entgegenstehen, damit eine gesetzliche Gestattung für die Datenverarbeitung ausscheidet. Das erfordert letztlich immer eine Abwägung im Einzelfall, weshalb die schematische Betrachtung der DSK in ihrer Pauschalität ersichtlich falsch ist. Möglicherweise werden sich einige Datenschützer noch darüber wundern, was über diese, nunmehr gemeinschaftsrechtlich auszulegende Norm alles gerechtfertigt werden kann und wird. Es ist also mitnichten entschieden, dass die DSGVO ein höheres Datenschutzniveau etabliert als das bislang geltende Datenschutzrecht. Die DSGVO schafft sicherlich mehr Informations- und Dokumentationspflichten, aber am Ende könnte sie dennoch eine Datenverarbeitung in größerem Umfang als bislang erlauben. Art. 6 DSGVO bietet jedenfalls das Potential dafür.

Verarbeitungsverzeichnis

Jeder der nicht nur gelegentlich personenbezogene Daten verabeitet, muss nach Art. 30 DSGVO ein sog. Verarbeitungsverzeichnis führen. Diese Voraussetzungen dürften auf die meisten Blogger zutreffen. Dieses Verzeichnis muss aber nicht veröffentlicht werden, sondern ist nur der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Auftragsverarbeitung

Wer ein Blog oder eine Website betreibt, muss nach Auffassung der Aufsichtsbehörden mit seinem Hoster einen Vertrag über eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) schließen. Auch wenn diese Ansicht sicherlich vertretbar ist, erschien sie mir immer merkwürdig inkonsistent. Denn ob man als Blogger im Verhältnis zu einem großen Hoster oder gar zu Google oder Amazon tatsächlich die Rolle des Controllers einnimmt und einnehmen kann, darf bezweifelt werden. Der Datenschutz verkommt hier zu einem Placebo, denn das Ausfüllen vorformulierter Musterverträge begründet keinen wirklichen Mehrwert und Nutzen. Außerdem lässt sich nicht mehr schlüssig erklären, warum man dann nicht auch mit Facebook, Twitter und Instagram eine Vereinbarung über eine Auftragsverarbeitung schließen müsste, wenn man seinen Account nicht ausschließlich zu persönlichen oder familiären Zwecken nutzt.

Mittlerweile bieten fast alle Hoster den Abschluss solcher Vereinbarungen an, ein Service den man als Blogger und Seitenbetreiber im Zweifel auch in Anspruch nehmen sollte.

 

Die DSGVO ist insgesamt nicht der große Wurf, für den manche sie halten. Vielmehr verfolgt die EU ihren bekannten paternalistischen Ansatz, den nicht sonderlich mündigen Bürger fast zu Tode zu informieren, konsequent weiter, ohne, dass hierdurch ein tatsächlicher Mehrwert für den Datenschutz entsteht. Die DSGVO enthält ein bisschen mehr von allem. Mehr Informationspflichten, mehr Dokumentationspflichten und höhere Geldbußen. Außerdem haben Versäumnisse des europäischen und des deutschen Gesetzgebers im meinungsrelevanten Bereich zu einer gefährlichen Rechtsunklarheit geführt, die die Gerichte beseitigen werden müssen. Sowohl die Begeisterung der einen, wie auch die Panik der anderen ist unangebracht. Die DSGVO beinhaltet ein wenig innovatives Update des bekannten Datenschutzkonzepts, gekoppelt an etwas mehr Bürokratie.

posted by Stadler at 22:19  

15.5.18

Sind Dashcams jetzt erlaubt?

Der Bundesgerichtshof hat heute sein Urteil (Az.: VI ZR 233/17) zu der Frage verkündet, ob Aufnahmen von Dashcams, die das Verkehrsverhalten anderer Verkehrsteilnehmer erfassen, im Unfallprozess verwertbar sind.

Der BGH erläutert zunächst, dass zumindest das permanente Filmen des Verkehrsgeschehens mittels einer Dashcam gegen datenschutzrechtliche Verschriften verstößt. Aus diesem Umstand, so der BGH, folgt aber nicht ohne weiteres ein Beweisverwertungsverbot. Im Falle von Aufnahmen, die mit einer Dashcam gemacht wurden, würde die notwendige Interessen- und Güterabwägung zu dem Ergebnis führen, dass solche Aufnahmen im Zivilprozess als Beweismittel verwertet werden könnten.

Diese Entscheidung ist nicht wirklich überraschend, denn die deutsche Rechtsprechung ist mit Beweisverwertungsverboten eher zurückhaltend.

Zunächst ist allerdings festzuhalten, dass der BGH über eine prozessuale Frage entschieden hat. Aus dem Urteil lässt sich keinesfalls die Schlussfolgerung ziehen, der Einsatz von Dashcams sei damit legal. Ganz im Gegenteil. Der BGH betont ausdrücklich, dass der Dashcameinsatz einen Verstoß gegen das Datenschutzrecht darstellt. Das Beweismittel ist also rechtswidrig hergestellt und erlangt und darf dennoch im Zivilprozess verwendet werden.

Zumindest die Pressemitteilung des BGH lässt aber keine sachgerechte Abwägung des Senats erkennen. Die in der Pressemitteilung genanten Abwägungskriterien, die die Zulässigkeit der Beweisverwertung begründen sollen, erscheinen nicht stichhaltig. Den (möglichen) Verstoß gegen die Persönlichkeitsrechte des gefilmten Verkehrsteilnehmers erachtet der BGH offensichtlich schon deshalb als unerheblich, weil der Schutz des allgemeinen Persönlichkeitsrechts vor allem durch die Regelungen des Datenschutzrechts gewährleistet sei, die nicht auf ein Beweisverwertungsverbot abzielten.

Das Datenschutzrecht schützt aber nicht vordergründig das allgemeine Persönlichkeitsrecht, sondern spezifischer das Recht auf informationelle Selbstbestimmung. Wenn die Begründung des BGH zutreffend wäre, müsste sie selbst bei einem Eingriff in die Private- oder gar Intimsphäre greifen. Es ließe sich dann nicht mehr nachvollziehbar erklären, warum das heimliche Mithören oder Aufzeichnen von Telefongesprächen zu einem Beweisverwertungsverbot führen sollte. Der Schutz des Persönlichkeitsrechts erfolgt eben abgestuft, während des Datenschutzrecht ein solches abgestuftes Schutzkonzept nicht kennt. Datenschutzrecht und Persönlichkeitsrecht sind unterschiedliche Rechtsmaterien.

Die Frage ist auch, ob der Schutz, den die datenschutzrechtlichen Regelungen begründen sollen, nicht ausgehöhlt wird, wenn man Dashcam-Aufnahmen nicht mit einem Beweisverwertungsverbot belegt. Denn das wird nicht wenige Autofahrer, die schon bislang Dashcams einsetzen, ermutigen, dies auch weiterhin zu tun. Möglicherweise erfordert also die Notwendigkeit, Datenschutz effektiv durchzusetzen, in solchen Fällen auch ein prozessuales Beweisverwertungsverbot. Zumindest ist dieser Aspekt abwägungsrelevant, wird vom BGH aber nicht in die Abwägung eingestellt.

Auch wenn man für eine abschließende Bewertung den Volltext des Urteils abwarten muss, erscheint die Entscheidung auf den ersten Blick jedenfalls nicht zwingend zu sein.

posted by Stadler at 22:01  

12.3.18

Schränkt die Datenschutzgrundverordnung Meinungsäußerungen im Internet ein?

Das Spannungsverhältnis zwischen Datenschutz und Meinungsfreiheit ist kein neues Thema, aber es wird durch die Datenschutzgrundverordnung (DSGVO), die ab 25.05.2018 gilt, noch deutlich verschärft. Den Grundkonflikt hatte ich bereits hier und hier erläutert. Im Netz finden sich lesenswerte Beiträge u.a. von Winfried Veil, von Jan Mönikes und aktuell für den Bereich der Bildnisveröffentlichung von Benjamin Horvath zu diesem Themenkreis.

Die Meinungsfreiheit umfasst insbesondere das Recht, sich kritisch zu bestimmten Personen und ihrem Verhalten und Wirken zu äußern. Speziell die DSGVO postuliert das Verbot, konkrete Personen im Internet überhaupt namentlich zu nennen. Das mag für den juristischen Laien absurd klingen, entspricht aber der Rechtslage, die in Deutschland ab dem 25.05.2018 gelten wird.

Die DSGVO gilt nach ihrem Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Eine Ausnahme macht die Verordnung lediglich für den persönlichen oder familiären Bereich.

Wer sich also online zu einer namentlich benannten Person äußert, fällt grundsätzlich in den Anwendungsbereich der DSGVO. Diese Datenverarbeitung ist auch nicht nach Art. 6 DSGVO rechtmäßig, so dass sie an sich unzulässig ist. Dem europäischen Gesetzgeber war das Spannungsverhältnis zur Meinungsfreiheit freilich bewusst, denn er hat in Art. 85 DSGVO eine Öffnungsklausel aufgenommen, die lautet:

Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

In Deutschland wird die Neufassung des BDSG allerdings diesbezüglich keine Regelungen enthalten, weil der Bund davon ausgeht, dass derartige Regelungen der Gesetzgebungskompetenz der Länder unterliegen. In den Bundesländern wird für den Bereich von Presse und Rundfunk derzeit an entsprechenden gesetzlichen Regelungen gearbeitet, die aber kaum zum 25.05.2018 in Kraft sein werden. Darüber hinaus werden diese Regelungen vermutlich lediglich den journalistischen Bereich abdecken, aber nicht Meinungsäußerungen von Privatpersonen im Netz.

Wenn man also die DSGVO schematisch anwendet, wird die namentliche Nennung einer beliebigen Person zum Beispiel auf Twitter oder in einem Blog ein Vorgang sein, den die DSGVO verbietet. Andererseits ist dies etwas, was die im Grundgesetz, der Menschenrechtskonvention und der Grundrechtecharta der EU garantierte Meinungsfreiheit explizit erlaubt. Aus grundrechtlicher Sicht hat eine ergebnisoffene Abwägung der Grundrechte auf Meinungsfreiheit und des Persönlichkeitsrechts der genannten, betroffenen Person zu erfolgen. Einen schematischen Vorrang wie nach der DSGVO darf es nach der Wertung der Grundrechte nicht geben. Die DSGVO verfolgt also in diesem Punkt ein Regelungskonzept, das nicht mit grundrechtlichen Wertungen vereinbar ist. Dies ist zunächst eine Fehlleistung des europäischen Gesetzgebers. Auch wenn sich der Bürger nicht unmittelbar auf die Grundrechtecharta der EU berufen kann, so bindet sie doch die Organe und Einrichtungen der EU. Der europäische Gesetzgeber (Parlament, Kommission, Rat) hat mit Schaffung der DSGVO, soweit sie einen schematischen Vorrang des Datenschutzes vor der Meinungsfreiheit postuliert, gegen die Grundrechtecharta verstoßen. Daran ändert auch die Öffnungsklausel des Art. 85 DSGVO nichts, denn der europäische Gesetzgeber kann dadurch nicht gewährleisten, dass sämtliche Mitgliedsstaaten pünktlich und in ausreichendem Umfang von dieser Öffnungsklausel auch Gebrauch machen. Demgegenüber wäre es problemlos möglich gewesen, meinungs- und presserelevante Sachverhalte von der DSGVO auszunehmen und dieses Spannungsverhältnis von vornherein zu beseitigen.

Aber auch der deutsche Gesetzgeber wird es, allem Anschein nach, nicht gewährleisten, dass bis zum 25.05.2018 gesetzliche Regelungen in Kraft sind, die entsprechende Ausnahmen in ausreichendem Maße vorsehen.

Die spannende Frage ist, wie die Gerichte mit dieser Situation umgehen werden. Bei der schematischen Anwendung der DSGVO können sie es in meinungsrelevanten Fällen im Grunde nicht belassen. Denn die Gerichte sind unmittelbar an die Grundrechte gebunden. Die deutschen Gerichte müssen nicht nur das Grundgesetz, sondern auch die Grundrechtecharta der EU beachten, die auch für die Mitgliedstaaten bei der Durchführung des Rechts der Union gilt. Wenn die nationalen Gerichte also die DSGVO anwenden, müsse sie hierbei also (auch) die Grundrechtecharta berücksichtigen. Für den EuGH gilt dies ohnehin.

Vor diesem Hintergrund ist nicht davon auszugehen, dass die Gerichte bei Sachverhalten, die offensichtlich vom Grundrecht auf Meinungsfreiheit gedeckt sind, einen Verstoß gegen die DSGVO annehmen werden. Denn sie würden damit als Teil der öffentlichen Gewalt selbst gegen das Grundrecht auf Meinungsfreiheit verstoßen. Es ist damit naheliegend, dass ein nationales Gericht entweder eine grundrechtskonforme Auslegung wählt oder an den EuGH vorlegt.

Das alles ändert aber nichts daran, dass der datenschutzrechtliche Tunnelblick des europäischen Gesetzgebers eine formelle Rechtslage zugelassen hat, die aus rechtsstaatlicher Sicht schwer erträglich ist. Der deutsche Gesetzgeber hat von seiner Möglichkeit Abhilfe zu schaffen, bislang ebenfalls nicht Gebrauch gemacht.

posted by Stadler at 23:26  

29.1.18

Der Staatstrojaner: Überwachung von Smartphones direkt beim Nutzer

Seit einigen Tagen wird in den Medien darüber berichtet, dass das Bundeskriminalamt Überwachungssoftware einsetzt, um Smartphones oder Computer zu überwachen und dort gespeicherte Informationen auszulesen.

Während die klassische Telefonüberwachung bei TK-Anbietern wie Telekom oder Vodafone ansetze und dort Telefonate belauschte, tritt im Zeitalter der internetgestützten Telekommunikation an deren Stelle ein Instrumentarium, das man gerne verharmlosend als Quellen-TKÜ bezeichnet. Die Überwachung findet hier an der Quelle, also direkt beim Nutzer statt. Für diese Form der Telekommunikationsüberwachung ist es allerdings grundsätzlich erforderlich, das Computersystem des Gesprächsteilnehmers heimlich mit einer speziellen Überwachungssoftware zu infiltrieren, die anschließend die Kommunikation überwacht und die Kommunikationsinhalte an die Strafverfolgungsbehörden übermittelt.

In technischer Hinsicht eng verwandt ist die sog. Online-Durchsuchung, bei der es ebenfalls erforderlich ist, auf dem Rechner des Betroffenen heimlich eine Spionagesoftware zu installieren. Diese Software überwacht dann allerdings nicht nur die laufende Kommunikation, sondern durchsucht die Festplatte des Betroffenen oder erfasst andere Kommunikationsvorgänge, wie beispielsweise die Nutzung des WWW.

Um zu verstehen, warum auch die neugeschaffene gesetzliche Regelung zur sog. Quellen-TKÜ in § 100a Abs. 1 S. 2 StPO nicht den verfassungsrechtlichen Anforderungen genügt, reicht die Lektüre folgender Passage aus der Entscheidung des BVerfG zur Onlinedurchsuchung:

Die Quellen-TKÜ ist in technischer Hinsicht also eine Online-Durchsuchung, die vom Gesetzgeber im Käfig der Telefonüberwachung gehalten werden muss, um rechtmäßig sein zu können. Dies hat der Gesetzgeber durch die Abs. 5 und 6 von § 100a StPO versucht. Juristisch interessant ist hierbei u.a. die Frage, was bei einer Kommunikation mittels eines Messenger wie WhatsApp konkret unter laufender Kommunikation verstanden werden soll. Bei der Sprachtelefefonie ist die laufende Kommunikation klar durch den Anfang und das Ende eines Telefonats begrenzt. In einem Messenger erfolgt die Kommunikation nicht in Echtzeit, so dass allein hierdurch eine massive qualitative Ausweitung erfolgt. Ist eine Unterhaltung via WhatsApp, die sich über Tage hinweg fortsetzt und immer wieder durch längere Pausen unterbrochen wird, noch laufend?

Den Vorgaben des BVerfG hätte der Gesetzgeber auch nur dann gerecht werden können, wenn er konkrete Vorgaben an die Anforderungen der einzusetzenden Software definiert hätte. Dies wird stattdessen den Ermittlungsbehörden überlassen, so dass faktisch kein Unterschied zwischen Quellen-TKÜ und Onlinedurchsuchung besteht. Der Einsatz multifunktionaler Programme wird vom Gesetzgeber gerade nicht unterbunden. Das Gesetz macht keinerlei Vorgaben zur Qualitätssicherung und Überprüfung der eingesetzten Software.

Die vom BVerfG vorgegebene Differenzierung zwischen Online-Überwachung und Quellen-TKÜ wird vom Gesetzgeber nicht nachvollzogen. Es stellt sich aber auch ganz generell die Frage, ob dies in technischer Hinsicht überhaupt trennscharf und zuverlässig möglich ist, denn die Quellen-TKÜ ist in technischer Hinsicht stets eine Onlinedurchsuchung. Der Begriff des Staatstrojaners erscheint daher mehr als passend.

Schwer wiegt auch der Umstand, dass die gesetzliche Regelung die Ermittlungsbehörden ermutigt, vorhandene  Sicherheitslücken auszunutzen, um fremde informationstechnischen Systeme mit Schadsoftware zu infiltrieren. Der Staat verhält sich also wie ein Cyberkrimineller. Das schafft, wie Ulf Buermeyer in seiner sachverständigen Stellungnahme für den Bundestag beklagt, fatale Fehlanreize, weil die Behörden damit ein erhebliches Interesse daran haben, Sicherheitslücken in informationstechnischen Systemen nicht an die Hersteller zu melden, sondern sie vielmehr gezielt aufrecht zu erhalten. Das läuft dem Allgemeininteresse an möglichst sicheren informationstechnischen System zuwider und begründet eine Gefährdung der IT-Sicherheit, die sich auf allen Ebenen (Staat, Unternehmen, Bürger) auswirkt und insgesamt eine Gefahr gerade für sicherheitskritische Infrastrukturen begründet. Aufgabe des Staates wäre es freilich, derartige Gefahren zu vermeiden und abzuwehren. Wer die Fortsetzung der GroKo für vernünftig hält, sollte auch derartige Gesetze in seine Betrachtung einbeziehen.

posted by Stadler at 21:50  

3.1.18

beA: Der Berliner Flughafen der Anwaltschaft

Viele Menschen haben in den letzten Tagen vermutlich erstmals vom sog. Besonderen Elektronischen Anwaltspostfach (beA) gehört. Noch bevor es richtig in Betrieb gehen konnte, wurde es aufgrund von Sicherheitsmängeln schon wieder vom Netz genommen. Was hat es mit diesem beA überhaupt auf sich?

§ 31a Bundesrechtsanwaltsordnung (BRAO) verpflichtet die Bundesrechtsanwaltskammer (BRAK) dazu, jedem in Deutschland zugelassenen Anwalt ein besonderes elektronisches Anwaltspostfach empfangsbereit einzurichten. Mit diesem beA sollen die Anwälte am elektronischen Rechtsverkehr mit den Gerichten teilnehmen. Der Gesetzgeber stellt sich dabei vor, dass dieses Verfahren von einem sehr hohen Maß an Datensicherheit geprägt ist. Das kommt u.a. in § 31 a Abs. 3 BRAO zum Ausdruck.

Kurz vor Weihnachten hat Markus Drenger vom CCC bemerkt, dass der beA-Client den bei der Verschlüsselung notwenigen privaten Schlüssel, der geheim zu halten ist, online bereitstellte. Er hat dies dem Anbieter des Sicherheitszertifikats und dem BSI mitgeteilt. Das Zertifikat musste daher vom Anbieter umgehend für ungültig erklärt werden. Die BRAK forderte ihre Mitglieder anschließend auf Empfehlung des beauftragten IT-Dienstleister Atos dazu auf, ein neues Zertifikat zu installieren, womit das Sicherheitsproblem allerdings nicht gelöst, sondern drastisch verschärft wurde, weil das neue Zertifikat wiederum den privaten Schlüssel verteilte und es sich zudem um ein Root-Zertifikat handelte, das beliebige andere Zertifikate signieren kann. Details hierzu lassen sich bei Golem und dem Kollegen Bergt nachlesen.

In seinem Vortrag auf dem 34C3 hat Markus Drenger außerdem erläutert, warum das beA über keine wirkliche Ende-zu-Ende-Verschlüsselung verfügt, sondern alle Nachrichten von der BRAK bzw. dem technischen Dienstleister Atos geöffnet werden. Drenger ist der Meinung, dass der beA-Client komplett neu geschrieben werden müsste, um gängigen Sicherheitsstandards zu entsprechen und dies nicht innerhalb eines Zeitraums von drei bis vier Monaten möglich sein dürfte. Die fehlende Ende-zu-Ende-Verschlüsselung ist auch deshalb brisant, weil das beA als TK-Dienst grundsätzlich auch Überwachungsregelungen wie der Vorratsdatenspeicherung unterliegt, selbst wenn insoweit die einschränkenden Regelungen für Berufsgeheimnisträger gelten.

Auch wenn allein die Empfehlung von Atos, ein eigenes Root-Zertifikat als Workaround zu installieren, sicherlich ausreichend Grund dafür geboten hätte, den Vertrag mit dem Dienstleister außerordentlich aus wichtigem Grund zu kündigen, hat man sich bei der BRAK offenbar dazu entschlossen, weiter auf diesen Dienstleister zu setzen. Das ist ganz bestimmt keine gute Idee, zumal das Vertrauen der Anwaltschaft in die Sicherheit und Funktionsfähigkeit des von Atos entwickelten Systems erschüttert ist. Aber nicht nur die technisch mangelhafte und nicht den gesetzlichen Vorgaben des § 31a Abs. 3 BRAO genügende Sicherheitsarchitektur des beA wirft Fragen auf, sondern auch die immensen Entwicklungskosten von bislang 38 Mio. EUR, zu denen laufende Kosten von jährlich 11 Mio. EUR hinzukommen.

Es hat ganz den Anschein, als würde sich das beA zum Berliner Flughafen der Anwaltschaft entwickeln. Die vorhandenen Sicherheitsmängel lassen einen baldigen Betrieb in der ersten Jahreshälfte kaum zu. Jedenfalls dann nicht, wenn man es mit dem gesetzlich geforderten hohen Sicherheitsniveau bei der BRAK diesmal ernst nimmt.

posted by Stadler at 22:05  

10.11.17

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht

Das Kammergericht hat ein Urteil des Landgerichts Berlin bestätigt, das es Facebook (Irland) untersagt, Spiele so zu präsentieren, dass der Nutzer mit dem Betätigen des Buttons „Spiel spielen“ die Erklärung abgibt, einer Übermittlung personenbezogener Daten an den (externen) Betreiber des Spiels zuzustimmen. Unwirksam ist nach Auffassung des Gerichts zudem eine Klausel, die es dem Betreiber des Spiels gestattet, im Namen des Nutzers auf Facebook zu posten. (Urteil des KG vom 22.09.2017, Az.: 5 U 155/14). Das Gericht geht davon aus, dass eine hinreichende Einwilligung des Nutzers in die Datenverarbeitung nicht erteilt wird.

Das Interessante an dem Urteil ist vor allem, dass das Kammergericht die Anwendung deutschen Datenschutzrechts bejaht, weil es Facebook Deutschland als eine Niederlassung von Facebook Ireland betrachtet. Das genügt, um die Datenverarbeitung als im Rahmen der Tätigkeit der Zweigniederlassung anzusehen, selbst dann, wenn die Daten nicht von der deutschen Niederlassung verarbeitet werden.

posted by Stadler at 08:29  

26.6.17

Nutzung von WhatsApp illegal und müssen Eltern die Nutzung des Messengers unterbinden?

Eine Entscheidung eines hessischen Familiengerichts (Beschluss des AG Bad Hersfeld vom 15.05.2017, Az.: F 120/17 EASO) verursacht gerade mächtig Aufruhr. Denn das AG Bad Hersfeld geht davon aus, dass jeder Nutzer von WhatsApp durch die Nutzung des Messengers laufend Rechtsverletzungen begeht und, dass Eltern, deren minderjährige Kinder WhatsApp nutzen, verpflichtet sind, bei allen Kontakten, die im Adressbuch des Smartphones des Kindes gespeichert sind, schriftliche Zustimmungserklärungen für die Datenübermittlung an den Dienst einzuholen. Werden diese Erklärungen dem Gericht nicht vorgelegt, müssen die Eltern die App vom Smartphone des Kindes löschen. Hintergrund der Auseinandersetzung ist folgende Klausel in den Nutzungsbedingungen von WhatsApp:

Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.

Vorausschicken möchte ich, dass ich kein Familienrechtler bin und deshalb nicht zu spezifisch familienrechtlichen Aspekten Stellung nehmen kann.

Der Ausgangspunkt, dass das Auslesen der Kontaktdaten eines Nutzers durch WhatsApp (Facebook) illegal ist, dürfte kaum zu beanstanden sein. Die entsprechende Regelung in den Nutzungsbedingungen des Dienstes ist sowohl als überraschende Klausel (§ 305 c BGB) als auch wegen Verstoß gegen wesentliche Grundgedanken des Gesetzes (§ 307 Abs. 2 BGB) unwirksam. Unabhängig davon, verschafft sich WhatsApp Daten Dritten ohne ausreichende rechtliche Grundlage.

Schon schwieriger wird es allerdings bei der Frage, ob der Nutzer von WhatsApp eine Rechtsverletzung begeht. Das Gericht lehnt die Anwendung des BDSG ausdrücklich ab, bejaht dann aber eine Verletzung des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung, worin es zivilrechtlich eine unerlaubte Handlung i.S.v. § 823 BGB sieht. An dieser Stelle thematisiert das Gericht allerdings nicht, ob es den Nutzer hier als Täter oder Teilnehmer ansieht. Dieser Aspekt ist schon deshalb von Bedeutung, weil es eine fahrlässige Beihilfe nicht gibt. Nachdem das Gericht in seiner Entscheidung mehrfach von Fahrlässigkeit spricht, deutet dies daraufhin, dass es von einer Täterschaft des Nutzers ausgeht. Dies ist allerdings wegen der passiven Rolle des Nutzers bedenklich. Die Tathandlung des Auslesen von Daten wird durch WhatsApp begangen. Nach überkommener Dogmatik käme ergänzend auch eine Haftung als Störer für die fremde Rechtsverletzung in Betracht. Hierfür müsste man dann aber eine Verletzung zumutbarer Prüfpflichten durch das Kind annehmen. Die Annahme des Gerichts, das Kind würde eine tatbestandsmäßige und rechtswidrige unerlaubte Handlung begehen, kann man also durchaus in Zweifel ziehen. Andererseits wären möglicherweise, entgegen der Ansicht des Gerichts, datenschutzrechtliche Grundsätze anzuwenden gewesen.

Die weitere Annahme des Gerichts, es bestünde die Gefahr, dass das Kind durch andere Personen abgemahnt und zur Unterlassung aufgefordert wird, erscheint nach der bisherigen Rechtspraxis zumindest noch fernliegend. Derartige Abmahnungen sind mir bislang jedenfalls nicht bekannt.

Ob die sehr weitreichenden Anordnungen des Gerichts familienrechtlich statthaft sind, möchte ich nicht beurteilen.

posted by Stadler at 22:26  

16.5.17

Wieder mal: IP-Adressen als personenbezogene Daten

Der BGH hatte (erneut) die Frage zu entscheiden, ob die vom Betreiber eines Webservers geloggten IP-Adressen der Nutzer der Website als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind. Der BGH hatte die Frage zunächst an den EuGH vorgelegt und nach der Entscheidung des EuGH nunmehr in der Sache entschieden (Urteil vom 16. Mai 2017 – VI ZR 135/13).

In seiner heutigen Entscheidung bejaht der BGH den Personenbezug von IP-Adressen aus Sicht des Betreibers des Webservers. In der Pressemitteilung des Bundesgerichtshofs heißt es dazu:

Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Auch wenn bislang lediglich die Pressemitteilung vorliegt, darf man bezweifeln, dass der BGH die Rechtsprechung des EuGH damit korrekt umsetzt. Denn die Vorlagefrage zum Personenbezug von IP-Adressen hatte der EuGH folgendermaßen beantwortet:

Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

Entscheidend ist also, ob der Betreiber des Onlinediensts/Webservers über rechtliche Mittel verfügt, die es ihm erlauben, mithilfe des Access-Providers die Nutzer zu identifizieren. Solche rechtlichen Mittel gibt es in Deutschland allerdings nicht allgemein, sondern nur in Ausnahmefällen aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Grundsätzlich verfügt der Betreiber eines Webservers also nicht über die rechtlichen Mittel, einen User anhand der IP-Adresse zu identifizieren.

posted by Stadler at 12:23  
Nächste Seite »