Internet-Law

Detektor.fm berichtet darüber, dass der FC Bayern München von den Besuchern des morgigen CL-Finales die Angabe von Personen- und Anreisedaten gefordert hat, mit Verweis darauf, dass dies von der UEFA und den örtlichen Polizeibehörden verlangt würde. Das entsprechende Schreiben des Clubs ist bei detektor.fm online. Wie und wofür diese Daten verwendet werden und wie lange sie gespeichert bleiben, besagt das Schreibens des FC Bayern nicht.

Die Münchener Polizeibehörden haben offenbar sogleich dementiert. Das ist wenig überraschend, denn aus polizeirechtlicher Sicht gibt es keine Rechtsgrundlage dafür, die Anreisedaten aller Besucher vorab zu ermitteln.

Ob es seitens der UEFA eine entsprechende Vorgabe gibt, ist offenbar unklar. Sie wäre jedenfalls nicht mit deutschem und europäischem Datenschutzrecht vereinbar, zumal nicht darüber aufgeklärt wurde, was der genaue Zweck der Datenerhebung ist. Vielmehr wird der Eindruck erweckt, der Stadionbesucher müsse diese Daten preisgeben, weil dies eine behördliche Vorgabe sei. Allein damit entfällt aber die Freiwilligkeit der Einwilligung in die Datenverarbeitung.

Das Bayerische Landesamt für Datenschutzaufsicht sollte sich mit diesem Vorgang befassen und diesen datenschutzrechtlichen Verstoß entsprechend ahnden.

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70′er und 80′er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.

Was den Schutz personenbezogener Daten angeht, haben sich EU-Kommission und EU-Parlament in letzter Zeit nicht mit Ruhm bekleckert. Im Rahmen von bilateralen Verträgen wie dem SWIFT-Abkommen und dem Fluggastdatenabkommen liefert man den USA die Bankdaten europäischer Bürger und die Daten von Fluggästen, die in die USA reisen, praktisch auf dem Silbertablett. Weil man das, was die USA können – nämlich personenbezogene Daten von Passagieren fünf Jahre lang zu speichern – selbst natürlich auch können muss, wollen die europäischen Innenminister jetzt auch bei innereuropäischen Flügen personenbezogene Daten von Passagieren für die Dauer von 5 Jahren (!) speichern. Die Bundesregierung hat sich in dieser Frage wieder einmal vornehm enthalten, denn man weiß in Berlin natürlich, dass das BVerfG bei der Vorratsdatenspeicherung – und nichts anderes ist die anlasslose Speicherung von Fluggastdaten – bereits eine Speicherdauer von 6 Monaten als gerade noch zulässig angesehen hat.

Der Eindruck, dass Europa mehrheitlich von Technokraten und Antidemokraten regiert und gelenkt wird, verdichtet sich zur Wahrheit.

Dass man auf Ebene der EU gerade parallel über ein besseres und effektiveres Datenschutzrecht diskutiert, kann vor diesem Hintergrund allenfalls noch als Groteske durchgehen. Wer von Unternehmen und Bürgern die Achtung der Privatsphäre und den effektiven Schutz personenbezogener Daten verlangt, der muss selbst mit gutem Beispiel vorangehen. Ein Staat bzw. eine Staatengemeinschaft die demgegenüber für sich reklamiert, personenbezogene Daten praktisch nach Belieben und ohne jeden Anlass auf Vorrat speichern und an Drittstaaten übermitteln zu dürfen, lässt die notwendige Vorbildfunktion vermissen und darf auf keine Akzeptanz im Bereich des Datenschutzes hoffen.

Den dazu passenden Treppenwitz liefert einmal mehr EU-Kommissarin Cecilia Malmström. Auf die Frage, ob man die Richtlinie über die Vorratsdatenspeicherung nicht dahingehend ändern könnte, dass den Mitgliedsstaaten eine Umsetzung freigestellt wird, hat Frau Malmström folgendes geantwortet:

Optionale Maßnahmen mit offenkundigen Konsequenzen für das Recht auf Datenschutz und Privatsphäre würden im Gegenteil dem Bürger gemeinsame Mindeststandards für diese Grundrechte in der EU vorenthalten.

Die zwingende Umsetzung einer Vorratsdatenspeicherung ist mit anderen Worten deshalb notwendig, um das Recht der EU-Bürger auf Datenschutz und Privatsphäre zu gewährleisten. Das erinnert mich an den alten Witz, dass man nur die Daten schützen kann, die man zuvor erhoben hat.

In der Zeit, als man noch ernsthaft versucht hat, Datenschutz zu betreiben, galt das Prinzip der Datenvermeidung als die oberste Maxime des Datenschutzrechts. Dieses Grundprinzip des Datenschutzrechts möchte die EU-Kommission offenbar in sein Gegenteil verkehren und die massenhafte und anlasslose Datenspeicherung zum neuen Leitbild erheben. Dann liebe EU-Kommission, sollte man konsequenterweise aber auch das Schattenboxen, das parallel um eine EU-Verordnung zum Datenschutz stattfindet, beenden und das Post-Privacy-Zeitalter ganz offiziell einläuten. Die EU-Kommission pfeift ganz ersichtlich auf den Datenschutz und das Recht auf informationelle Selbstbestimmung und sollte diese Haltung dann wenigstens auch konsequent und offen an den Tag legen.

Das EU-Parlament, das der Entwicklung bisher fast nichts entgegengesetzt hat, wird sich in Zukunft verstärkt die Frage stellen müssen, ob man sich weiterhin von bürgerrechtsfeindlichen Technokraten dominieren lassen will, oder gelegentlich vielleicht doch im Interesse der europäischen Bürger stimmen sollte, von denen man gewählt wurde.

Zum selben Thema siehe auch die Beiträge von Patrick Breyer beim AK Vorrat und Andre Meister bei netzpolitik.org.

Das OVG Münster hat entschieden (Beschluss vom 23.04.2012, Az.: 13 B 127/12), dass ein öffentlich-rechtlicher Unterlassungsanspruch gegen behördliche Warnungen bestehen kann.  Das gilt zumindest dann, wenn Äußerungen einer Behörde gegenüber Medien wie ein Verbot wirken sollen und die Behörde eine solche Wirkung auch angestrebt hat. Hierbei ist primär auf die tatsächlich entstandene Wirkung der Mitteilung abzuheben. Konkret ging es um eine Warnung des Gesundheitsministeriums in NRW vor dem Verkauf sog. E-Zigaretten.

Das Gericht führt zum öffentlich-rechtlichen Unterlassungsanspruch allgemein folgendes aus:

Der öffentlich-rechtliche Anspruch auf zukünftige Unterlassung einer getätigten Äußerung setzt voraus, dass ein rechtswidriger hoheitlicher Eingriff in grundrechtlich geschützte Rechtspositionen oder sonstige subjektive Rechte des Betroffenen erfolgt ist und die konkrete Gefahr der Wiederholung droht. Amtliche Äußerungen haben sich an den allgemeinen Grundsätzen für rechtsstaatliches Verhalten in der Ausprägung des Willkürverbots und des Verhältnismäßigkeitsgrundsatzes zu orientieren. Aus dem Willkürverbot ist abzuleiten, dass Werturteile nicht auf sachfremden Erwägungen beruhen dürfen, d. h. bei verständiger Beurteilung auf einem im Wesentlichen zutreffenden oder zumindest sachgerecht und vertretbar gewürdigten Tatsachenkern beruhen müssen, und zudem den sachlich gebotenen Rahmen nicht überschreiten dürfen (Sachlichkeitsgebot). Rechtliche Wertungen sind auf ihre Vertretbarkeit zu überprüfen. Wenn die Richtigkeit der Information noch nicht abschließend geklärt ist, hängt die Rechtmäßigkeit der staatlichen Informationstätigkeit davon ab, ob der Sachverhalt vor seiner Verbreitung im Rahmen des Möglichen sorgsam und unter Nutzung verfügbarer Informationsquellen sowie in dem Bemühen um die nach den Umständen erreichbare Verlässlichkeit aufgeklärt worden ist. Verbleiben dennoch Unsicherheiten, ist der Staat an der Verbreitung der Informationen gleichwohl jedenfalls dann nicht gehindert, wenn es im öffentlichen Interesse liegt, dass die Marktteilnehmer über einen für ihr Verhalten wichtigen Umstand, etwa ein Verbraucherrisiko, aufgeklärt werden. Es ist dann angezeigt, die Marktteilnehmer auf verbleibende Unsicherheiten über die Richtigkeit der Information hinzuweisen, um sie in die Lage zu versetzen, selbst zu entscheiden, wie sie mit der Ungewissheit umgehen wollen.

Härting zieht eine Parallele zu dem Vorgehen des ULD gegen den Facebook-Like-Button und Fanpages bei Facebook. Die Aufforderung gegenüber allen Webseitenbetreibern in Schleswig-Holstein ihre Facebook-Like-Buttons zu entfernen, verbunden mit der Androhung von Untersagungsverfügungen und Bußgeldern, stellt eine amtliche Äußerung mit Eingriffscharakter dar, so dass hiergegen grundsätzlich der Weg zu den Verwaltungsgerichten offen stehen dürfte.

Der EuGH hat heute (Urteil vom 19.04.2012, Az.: C?461/10) entschieden, dass Auskunftsansprüche gegen Internet-Service-Provider, die in Mitgliedstaaten auf Grundlage der sog. Enforcement-Richtlinie geschaffen wurden – in Deutschland betrifft dies § 101 Abs. 2, Abs. 9 UrhG – sowohl mit der Richtlinie über die Vorratsdatenspeicherung als auch mit der Datenschutzrichtlinie vereinbar sind. Mithilfe dieser Auskunftsansprüche werden in Fällen des Filesharing die von den Rechteinhabern ermittelten IP-Adressen dann von den Providern einem Kunden bzw. Anschlussinhaber zugeordnet.

In der Formulierung des EuGH

Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.

erkenne ich freilich die deutsche Rechtswirklichkeit bei richterlichen Auskunftsbeschlüssen nach § 101 Abs. 9 UrhG kaum wieder. Denn eine Prüfung des Einzelfalls, die den Grundsatz der Verhältnismäßigkeit gebührend berücksichtigen würde, findet bei deutschen Gerichten schlicht nicht statt. Es ist vielmehr so, dass die nach § 101 Abs. 9 UrhG angerufenen Gerichte massenhaft, tetxbausteinartig und ohne jegliche Einzelfallprüfung diejnigen Auskunftsbeschlüsse erlassen, die den Provider erst ermächtigen, die Daten seines Kunden herauszugeben. Mir liegen diesbezüglich eine ganze Reihe von Akteneinsichten, insbesondere des Landgerichts Köln, vor, die dieses schematische und textbausteinartige Vorgehen des Gerichts belegen. Der eigentlich als zusätzliche Hürde gedachte Richtervorbehalt verkommt dadurch zur bloßen Makulatur.

Eine gute Erläuterung des Urteils liefert auch der Kollege Dosch.

Vor einiger Zeit hatte ich bereits darüber berichtet, dass ein schwäbischer Jugendrichter einen Facebook-Account eines Angeklagten beschlagnahmt und von Facebook die Herausgabe von Kommuniaktionnhalten verlangt hat. Dies hatte Facebook verweigert, weshalb das Gericht die Facebook-Lobbyistin Erika Mann als Zeugin geladen hat.

Die Zeugin hat dann offenbar aber darum gebeten, sie von der Erscheinenspflicht zu entbinden. Dem Gericht ließ sie über einen anwaltlichen Vertreter erklären, dass für die in Deutschland erbrachten Dientleistungen zwar Facebook Irland die verantwortliche Gesellschaft sei, dass aber die Daten gleichwohl auf Servern in den USA gespeichert seien, weshalb eine Beauskunftung nur über die Stellung eines Rechtshilfeersuchen an die USA möglich sei. Denn Facebook Irland sieht sich durch amerikanisches Datenschutzrecht an der Herausgabe der Daten gehindert, wie der Jugendrichter im Termin erläuterte.

Der Amtsrichter hat sich in dem heutigen Termin, in dem er sein Urteil verkündete, dann auch sehr eindeutig und kritisch in Richtung Facebook geäußert, wie der Reutlinger Generalanzeiger berichtet.

Facebook hat vor kurzem eine Timeline (Chronik) eingerichtet, in der die verschiedensten Aktivitäten eines Facebooknutzers öffentlich – oder auch eingeschränkt, wenn man die standardmäßigen Privatsphäreneinstellungen entsprechend abändert – angezeigt werden. Um beobachten zu können, was diese neue Chronik per default so alles preisgibt, habe ich meine Privatsphäreneinstellungen bewusst unverändert gelassen und es ganz gezielt vermieden, irgendeinen Bestätigungsbutton anzuklicken.

Die Preisgabe der Information, dass ich beispielsweise etwas in die Gruppe “Netzpolitik” poste, erscheint mir naheliegend, zumal ich ja möchte, dass das gelesen wird. Dass in meiner Chronik allerdings auch Einträge erscheinen wie “Thomas hat einen Artikel gelesen.”, einschließlich des Links auf den gelesenen Artikel, ist weniger harmlos. Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt. Im konkreten Beispielsfall hatte ich in der Facebook-Gruppe “Netzpolitik” auf einen Link geklickt, der zu einem Artikel des britischen Guardian führte.

Die Preisgabe dieser Information ist ohne meine ausdrückliche Einwilligung allerdings datenschutzwidrig und verletzt grundsätzlich auch mein allgemeines Persönlichkeitsrecht. Denn ehrlich gesagt, möchte ich weder die Allgemeinheit noch meine Facebook-Freunde ständig darüber informieren, was ich online lese. Auch wenn Facebook mittlerweile bei den Privatsphäreneinstellungen relativ viele Möglichkeiten anbietet, lässt sich speziell der genannte Aspekt wohl auch nicht einzeln deaktivieren. Man kann diesen Eintrag nur nachträglich aus der Chronik ausblenden. Wer nur die Einstellung gewählt hat, dass seine Postings öffentlich sein sollen, muss noch lange nicht damit rechnen, dass er damit auch in die Preisgabe der von ihm angeklickten Links einwilligt.

Bereits der Umstand, dass Facebook das gesamte Nutzungsverhalten eines jeden Facebooknutzers lückenlos aufzeichnet, verstößt gegen das Datenschutzrecht und zwar selbst dann, wenn der Nutzer den Datenschutzbestimmungen von Facebook ausdrücklich zugestimmt haben sollte. Denn der Nutzer wird von Facebook erst gar nicht darüber informiert, dass sein gesamtes Nutzungsverhalten lückenlos getrackt wird und damit Bewegungsprofile erstellt werden.

Die Zustimmungserklärung, die Facebook versucht den Nutzern unterzujubeln, entspricht ohnehin nicht den Anforderungen von § 4a BDSG. Das bedeutet, dass kein deutscher Nutzer von Facebook den Datenschutzbestimmungen in rechtswirksamer Weise zustimmen wird oder zugestimmt hat. Das ist allerdings ein Umstand, der Facebook wenig zu kümmern scheint.

Facebook verstößt weiterhin konsequent gegen deutsches und europäisches Datenschutzrecht, an das es allerdings gebunden ist.

Die durch EU-Verordnung geschaffene Behörde BEREC (Body of European Regulators for Electronic Communications) hat der Kommission einen ersten Bericht über Providerpraktiken zum “Traffic Management” vorgelegt. Der Bericht gelangt zu dem Ergebnis, dass die Blockade von VoIP- und P2P-Traffic üblich ist, wobei die Internettelefonie (VoIP) primär im Mobilfunkbereich blockiert wird, zumeist entsprechend vertraglich vorgesehener Einschränkungen, während der Zugriff auf Peer-To-Peer-Netzwerke vorwiegend im Festnetzbereich beschränkt wird. Sofern ein solcher Blockademechanismus implementiert ist, wird er nach den Erkenntnissen von BEREC zumeist im Wege der Deep-Packet-Inspection (DPI) umgesetzt.

Darüber hinaus hat BEREC eine große Bandbreite weiterer Maßnahmen festgestellt, die unterschiedlich weit verbreitet sind. Hierzu gehört die Drosselung des Streamings ebenso wie die bevorzugte Behandlung bestimmter Services.  Die hierzulande vieldiskutierte Idee der Einführung von Diensteklassen scheint also bereits der Praxis einer ganzen Reihe von Providern zu entsprechen.

Der Bericht der BEREC – bislang ist nur eine Pressemitteilung veröffentlicht – wird die Netzneutralitätsdiskussion vermutlich wieder befeuern. Axel Spieß berichtet im Beck-Blog ergänzend von einem Konsultationsverfahren von BEREC zur Nicht-Diskriminierung.

Über den Sinn und Zweck des Dienstes De-Mail, mit dem der Gesetzgeber eine sichere Kommunikationsstruktur im Internet schaffen will, ist gerade im Netz kontrovers diskutiert worden. Rechtsanwältin Ann-Karina Wrede hat sich intensiv mit dem Thema befasst und beurteilt das Konzept positiv. Sie hat mir freundlicherweise folgenden Gastbeitrag zur Verfügung gestellt:

Der (Un)Sinn der De-Mail
von Ann-Karina Wrede

Seit der CeBIT ist es amtlich: insgesamt drei Unternehmen dürfen sich nun ganz offiziell „De-Mail-Diensteanbieter“ nennen. Doch obwohl schon viel über das neue Angebot berichtet worden ist, scheint sich der Mehrwert dieser Dienstleistung noch nicht wirklich herumgesprochen zu haben und so hagelt es mal wieder massenhaft Kritik. Wie immer eigentlich, wenn Unwissenheit im Spiel ist…

Die Ausgangslage
Zur Ausgangslage soll hier nur kurz festgestellt werden, dass im gewöhnlichen Unternehmensalltag vertrauliche Unterlagen über das Standard-E-Mail-Protokoll SMTP verschickt werden – und damit ohne die Gewährleistung von Authentizität, Integrität oder Vertraulichkeit und Verfügbarkeit.

(Unter anderem) aufgrund dieser Sicherheitsrisiken wurde im Mai 2011 das De-Mail-Gesetz verabschiedet, welches den rechtlichen Rahmen zur Einführung vertrauenswürdiger De-Mail-Dienste und damit zur sicheren elektronischen Kommunikation schuf. Dies ist im Übrigen der Unterschied zum E-Postbrief, da sich die Post nicht den Vorgaben des De-Mail-G unterworfen hat – was sie inzwischen aber laut welt.de zu überdenken scheint…

Bei der De-Mail also gilt das Motto:

„De-Mail – So einfach wie E-Mail, so sicher wie Papierpost.“

Jedermann (und jede Frau) soll also in der Lage sein, einfach sichere Nachrichten zu verschicken, ohne dass dafür eine besondere Soft- oder Hardware implementiert werden muss.

Die Kritiker
Doch wie immer bei Veränderungen sind die Kritiker nicht weit entfernt. Und so wird kritisiert, was das Zeug hält. Die Anknüpfungspunkte hierfür lassen sich vor allem in den Bereichen

• der fehlenden Ende-zu-Ende-Verschlüsselung,
• den Kosten und
• der insgesamten Sinn(los)igkeit des ganzen Dienstes

finden. Kritisiert wird dabei vor allem von vorgeblich technikaffinen Personen. Diese lassen oft pragmatische Gesichtspunkte außer Acht.

Fehlende Ende-zu-Ende-Verschlüsselung
Die Kritik bezieht sich auf die vorgenommene Entschlüsselung zur Prüfung von Nachrichten auf Schadsoftware. Fakt ist: Es gibt keine Ende-zu-Ende-Verschlüsselung, zumindest nicht als Standardeinstellung. Wer dennoch nicht auf sie verzichten möchte, muss lediglich einen öffentlichen Schlüssel in den Verzeichnisdienst (§ 7 De-Mail-Gesetz) hochladen und kann diesen mit seinem Kommunikationspartner austauschen. Anschließend ist eine durchgängige Ende-zu-Ende-Verschlüsselung möglich, eine Prüfung auf Schadsoftware findet nicht statt. Dies setzt natürlich einen gewissen Aufwand des Nutzers voraus – und sicherlich auch eine gewisse Sensibilität desselbigen. Mit entsprechenden Kurzanleitungen auf den Serviceseiten der Diensteanbieter sollte dies aber selbst für den Durchschnittsverbraucher keine große Hürde darstellen.

Doch auch wenn diese Option nicht genutzt werden sollte und es tatsächlich für einige Sekunden zu einer „Entschlüsselung“ der Nachrichten zur Malewareprüfung kommt, ist es nicht so, dass die Nachrichten in dieser Zeit für jeden (Dritten) frei zugänglich „irgendwo rum liegen“. Tatsächlich befinden sich die Nachrichten während dieser Zeit auf verschlüsselten Festplatten und auch der gesamte Transport findet verschlüsselt statt. Wegen ausgefeilter und abgestufter Rollen- und Berechtigungskonzepte bei den Diensteanbietern ist auch den jeweiligen Mitarbeitern nicht per se ein Mitlesen der Nachrichteninhalte (sprich ein Zugriff auf diese) möglich.

Die Kosten
Die Kosten des Ganzen bilden einen weiteren Kritikpunkt. Denn diese seien zu hoch. Doch vergleicht man die der Mentana oder der Telekom, die etwa um die 39 Cent liegen, stellt man fest, dass dieser Preis noch weit unter dem eines Standardbriefes liegt. Die Versandbestätigung soll etwa 69 Cent extra kosten, was in Summe einen Preis von 1,08 € ausmacht und damit immer noch deutlich unter den Kosten eines entsprechenden Einwurf-Einschreibens von 1,60 € liegt. Dass eine elektronische Nachricht außerdem schneller verschickt sein dürfte als eine Papierpost, dürfte dabei auf der Hand liegen…

Sinn(los)igkeit des ganzen Dienstes
Bliebe also nur noch die Kritik an der gesamten Sinn(los)igkeit des neuen Angebots. Zumindest bei Twitter fallen Hashtags wie #Dummenfang oder #VDS. Doch da scheint noch immer nicht im Bewusstsein der technikaffinen Twitter-Nutzer angekommen zu sein, dass es auch andere Menschen gibt, die nicht so mir-nichts-dir-nichts wissen, wie man Dateien oder E-Mails tatsächlich verschlüsselt – und an dieser Stelle ist nicht der bloße Passwortschutz (= Zugriffschutz) gemeint. Denn tatsächlich weiß der einzelne Nutzer vor dem Rechner oft nicht, was eigentlich der Unterschied zwischen einem Passwortschutz und einer Verschlüsselung ist und schon gar nicht, wie man letztere herstellen kann.

Verschlüsselungen mittels WinZip oder PGP sind in Unternehmen für den „normalen“ Mitarbeiter oft zu kompliziert, unverständlich und überfordernd. Dies wiederum hat oft zur Folge, dass lieber nichts verschlüsselt wird und vertrauliche Unterlagen im Klartext durchs World Wide Web geschickt werden. Dass dies keine wirkliche Lösung sein kann, liegt ebenfalls auf der Hand.

Fazit
Ein gewisses Maß an Skepsis bei Einführung neuer Produkte ist sicherlich sinnvoll, sollte aber den Blick aufs Wesentliche nicht verdecken. Die Einführung der De-Mail ist unter Umständen nicht für alle Unternehmen und vielleicht auch nicht für jede Privatperson die beste Lösung, mit Sicherheit aber ein Schritt in die richtige Richtung zur sicheren elektronischen Kommunikation. Sie bietet den Vorteil, dass keine Implementierung neuer Hard- oder Software notwendig ist und dass sie tatsächlich so einfach zu verschicken ist, wie eine herkömmliche E-Mail.

Darüber hinaus liegt der gesamten Akkreditierung eine mehrstufige Prüfung durch unterschiedliche und unabhängige Sachverständige zugrunde, welche die Einhaltung der gesetzlichen (wozu auch die Einhaltung von Löschfristen gehören) und technischen Anforderungen begutachtet haben.

Kritik ist gut und wichtig, allerdings sollte sie stets konstruktiv und objektiv sein – oder zumindest eine vergleichbare Alternative bieten. Diese ist allerding – zumindest im Moment – nirgends zu finden.

Das Landgericht Berlin hat mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Das geht aus einer Pressemitteilung der Verbraucherzentrale Bundesverband hervor, die die Klage gegen Facebook angestrengt hat. Auch das Landgericht Berlin hat mittlerweile eine Pressemitteilung veröffentlicht.

Damit ist zudem klargestellt, dass das Landgericht Berlin einen Gerichtsstand in Deutschland sowie die Anwendbarkeit des deutschen Rechts bejaht hat.

Interessant wird die Frage sein, wie Facebook auf die Entscheidung reagiert und wo und wie das Urteil notfalls vollstreckt werden soll. Vermutlich wird Facebook aber zunächst Berufung zum Kammergericht einlegen.

Update:
Der Kollege Carsten Ulbricht hat sich noch etwas ausführlicher mit dem Fall beschäftigt und vertritt u.a. die Ansicht, dass Facebook das Urteil, sollte es rechtskräftig werden, nicht einfach ignorieren kann. Das Urteil wird von der vzbv sicherlich mit den Mitteln des Ordnungsgeldes und ggf. der Ordnungshaft vollstreckt werden, sollte sich Facebook nicht an den Urteilsspruch halten. Auch wenn ein Ordnungsgeld von bis zu 250.000 EUR für ein Unternehmen wie Facebook zunächst noch keine sehr große Keule sein dürfte, wäre eine Ordnungshaft gegen den Geschäftsführer / Vorstand von Facebook Ireland dann aber doch eine interessante Sache.