Internet-Law

Das OLG Frankfurt hat mit Urteil vom 28.08.2013 (Az.: 13 U 105/07) erneut entschieden, dass die anlasslose Speicherung von IP-Adressen durch einen Zugangsprovider (Telekom) zulässig ist.

Der Fall hat eine lange Vorgeschichte und war bereits einmal beim BGH und es könnte sein, dass das Verfahren nunmehr erneut dort landet, nachdem das OLG die Revision zugelassen hat.

Die Telekom hatte ihre Praxis, die von ihren Kunden benutzten dynamischen IP-Adressen für die Dauer von sieben Tagen zu speichern, zunächst auf Abrechnungszwecke gestützt. Diese Begründung hat beim BGH im Ergebnis nicht gehalten, weil die Telekom nicht unter Beweis gestellt hat, dass die Speicherung zu Abrechungszwecken bei Flatratekunden erforderlich ist. Gleichzeitig hat der BGH aber darauf hingewiesen, dass eine Speicherung nach § 100 Abs. 1 TKG in Betracht kommt, sofern dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlage erforderlich ist. Diese Entscheidung des BGH ist auf Kritik gestoßen.

Die Telekom hat ihren Vortrag nach der Zurückverweisung angepasst und das OLG Frankfurt hat die Speicherung nunmehr erneut bestätigt, aufgrund der deutlichen Vorgabe des BGH diesmal gestützt auf Fehlererkennung und -beseitigung. Die maßgebliche Passage im Urteil des OLG Frankfurt hierzu lautet:

Angesichts des auf dieser Grundlage erstatteten und im Termin zur mündlichen Verhandlung vom 3.07.2013 mündlich erläuterten und vertieften Gutachtens des gerichtlich bestellten Sachverständigen B vom 28.12.2012 ist der Senat zu der Überzeugung gelangt, dass die Speicherpraxis der Beklagten durch den Erlaubnistatbestand des § 100 I TKG gedeckt ist, weil es – jedenfalls nach dem derzeitigen Stand der Technik – keine anderen Möglichkeiten gibt, Störungen der Telekommunikationsanlagen zu erkennen, einzugrenzen und notfalls zu beseitigen.

Der Sachverständige hat in sich nachvollziehbar dargelegt, dass bei der Beklagten pro Monat mehr als 500.000 Abuse-Meldungen eingehen.

Circa 162.000 dieser Abuse-Meldungen stehen im Zusammenhang mit Spams. Diese Vorfälle werden typischerweise von Botnetzen ausgelöst und führen als Nebeneffekt nicht nur zu unerwünschter Werbung, sondern auch zu Kaperungen von Accounts oder Rechnern, zum Diebstahl von Informationen oder ähnliche Missbräuchen. Derartige Angriffe ermöglichen Cyberkriminellen monetäre Vorteile, weil gestohlene Informationen z. B. in Untergrundforen verkauft oder gekaperte Computer zum Versand von Spam-Nachrichten benutzt werden.

Etwa 164.000 der Abuse-Meldungen stehen im Zusammenhang mit Angriffen auf Business-Kunden und haben damit potentiell direkten Einfluss auf die Infrastruktur und Dienste der Beklagten.

Daneben gibt es weitere Abuse-Meldungen, die vorwiegend im Zusammenhang mit Schadcodes auf Webseiten, Hacking, Portscans und anderen Arten von Missbräuchen stehen.

Der Sachverständige hat weiter plausibel dargelegt, dass den vorstehend beschriebenen Missbräuchen, die der Beklagten durch die entsprechenden Meldungen bekannt werden, durch ein geeignetes Abuse-Handling entgegengewirkt werden muss.

Denn unbehandelte Abuse-Meldungen erlauben es Angreifern, den von ihnen einmal in Gang gesetzten Missbrauch ungestört fortzusetzen und mehr Spams zu versenden, mehr Rechner auszuspähen, größere Botnetze zu erstellen, mehr Hacking-Angriffe auf die Kundeninfrastruktur der Beklagten auszuführen und ähnliche Angriffe durchzuführen.

Durch das Abuse-Handling der Beklagten wird es überhaupt erst ermöglicht, eine große Zahl an infizierten Rechnern zeitnah herauszufiltern. Wollte man das von der Beklagten eingeführte Sicherheitssystem unterbinden oder in zeitlicher oder sonstiger Weise stärker einschränken, als die Beklagte dies bereits in Absprache mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit getan hat, würde die Zahl der infizierten Rechner nicht nur konstant bleiben, sie würde vielmehr – bei entsprechender Zunahme von Spams – ständig zunehmen.

Der Senat ist auf Grund des Gutachtens des gerichtlich bestellten Sachverständigen davon überzeugt, dass das Abuse-Handling der Beklagten es ermöglicht, derartige Missbräuche bereits im Vorfeld einzudämmen. So werden bei ca. 500.000 Abuse-Meldungen pro Monat unter anderem ca. 20.000 Nutzer von infizierten Rechnern über den von diesen regelmäßig nicht erkannten Missbrauch in Kenntnis gesetzt und darüber informiert, wie der Missbrauch behoben werden kann.

Ohne das von der Beklagten praktizierte Abuse-Handling könnte es, so hat der Sachverständige nachvollziehbar dargelegt, neben den beschriebenen Missbräuchen auch zu starken Belastungen – unter Umständen auch zu Überlastungen – des Systems der Beklagten kommen. Denn die Mailserver werden durch Spams überfrachtet. Solange die Kapazität des Systems der Beklagten ausreicht, bleibt das System zwar noch funktionstüchtig. Im anderen Fall, also dem Fall der Überlastung, würde dies jedoch dazu führen, dass Mails überhaupt nicht mehr angenommen werden könnten. Bei der sogenannten Denial-of-Service-Attacke ist die Leistungskapazität erschöpft. Derartige Stabilitätsprobleme sind in der momentanen Praxis zwar glücklicherweise eher selten, würden aber ohne ein entsprechendes Abuse-Handling-System häufiger auftreten; und zwar mit nicht auszuschließenden Auswirkungen auch auf andere Netzbetreiber in Deutschland.

Provider dürfen also aus Gründen des Abuse-Handlings eine Vorratsdatenspeicherung von sieben Tagen praktizieren. Dass der BGH dies anders beurteilen wird, bezweifle ich angesichts seiner Vorentscheidung.

Facebook möchte seine Nutzungsbedingungen erneut ändern und zwar wiederum in relativ drastischer Weise zu Lasten der Nutzer, wie der Vorschlag für die „Erklärung der Rechte und Pflichten“ belegt. In der dortigen Ziff. 10 heißt es:

Unser Ziel ist es, Werbeanzeigen und sonstige kommerzielle bzw. gesponserte Inhalte, die für unsere Nutzer und Werbetreibenden wertvoll sind, zur Verfügung zu stellen. Um uns dabei zu helfen, erklärst du dich mit Folgendem einverstanden:

1. Du erteilst uns deine Erlaubnis zur Nutzung deines Namens, Profilbilds, deiner Inhalte und Informationen im Zusammenhang mit kommerziellen, gesponserten oder verwandten Inhalten (z. B. eine Marke, die dir gefällt), die von uns zur Verfügung gestellt oder aufgewertet werden. Dies bedeutet beispielsweise, dass du einem Unternehmen bzw. einer sonstigen Organisation die Erlaubnis erteilst, uns dafür zu bezahlen, deinen Namen und/oder dein Profilbild zusammen mit deinen Inhalten oder Informationen ohne irgendeine Entlohnung für dich zu veröffentlichen. Wenn du eine bestimmte Zielgruppe für deine Inhalte oder Informationen ausgewählt hast, werden wir deine Auswahl bei deren Nutzung respektieren. Solltest du jünger als achtzehn (18) Jahre alt sein bzw. gemäß einer anderen gesetzlichen Altersgrenze als minderjährig gelten, versicherst du, dass mindestens ein Elternteil bzw. Erziehungsberechtigter den Bedingungen dieses Abschnitts (sowie der Verwendung deines Namens, Profilbilds, deiner Inhalte und Informationen) in deinem Namen zugestimmt hat.

2. Wir geben deine Inhalte und Informationen nicht ohne deine Zustimmung an Werbetreibende weiter.

3. Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche kennzeichnen.

Facebook möchte also den Namen, das Profilbild und die Inhalte von Nutzern für kommerzielle Zwecke verwenden, sprich damit Geld verdienen.

Vor der Frage, ob diese Änderungen mit den Vorgaben des deutschen Rechts vereinbar sind, steht natürlich die Klärung der Frage, ob deutsches Recht überhaupt gilt. Man sollte sich hierbei freilich nicht von der Streitfrage ablenken lassen, ob Facebook an deutsches oder irisches Datenschutzrecht gebunden ist.

Denn hier geht es vordergründig um Nutzungsbedingungen und damit um AGB-Kontrolle. Es geht hierbei auch nicht primär um datenschutzrechtliche Fragen, sondern gerade auch um solche des Persönlichkeitsrechts und des Urheberrechts. Facebook regelt sogar selbst die Geltung von deutschem Recht. § 17 Nr. 3 der „Erklärung der Rechte und Pflichten“ enthält eine Ausnahmebestimmung für deutsche Nutzer dahingehend, dass diese Erklärung deutschem Recht unterliegt. Eine Rechtswahlklausel die ausländisches Recht zu Lasten eines Verbrauchers zur Anwendung bringen wollte, würde eine unangemessene Benachteiligung darstellen und wäre nach der Rechtsprechung des BGH unwirksam.

Bei den neuen Regelungen von Facebook dürfte es sich inhaltlich um überraschende Klauseln im Sinne von § 305c BGB handeln. Man wird darüber hinaus aber auch eine unangemessene Benachteiligung im Sinne von § 307 BGB diskutieren können.

Die Regelung wonach kommerzielle Kommunikation nicht immer als solche gekennzeichnet wird, verstößt gegen §§ 3, 4 Nr. 3 UWG. Die Verschleierung des Werbecharakters von geschäftlichen Handlungen ist wettbewerbswidrig. Zudem wird damit auch gegen § 6 Abs. 1 TMG verstoßen. Danach muss kommerzielle Kommunikation klar als solche zu erkennen sein. Es handelt sich hierbei übrigens um eine europarechtliche Vorgabe.

Es bleibt also festzuhalten, dass sich Facebook einmal mehr nicht um deutsches und europäisches Recht schert.

Derjenige Teil des gestrigen Fernsehduells zwischen Angela Merkel und Peer Steinbrück der sich mit der Spionagetätigkeit amerikanischer Geheimdienste wie NSA beschäftigt, ist eine kleine juristische Nachbetrachtung wert, auch wenn inhaltlich wenig Neues gesagt wurde.

Bundeskanzlerin Angela Merkel hat mehrfach versucht zu betonen, dass ausländische Geheimdienste wie die NSA auf deutschem Boden keine flächendeckende Überwachungstätigkeiten entfalten. Auf Nachfrage hin wollte sie aber nicht ausschließen, dass die Kommunikation deutscher Staatsbürger außerhalb des deutschen Staatsgebiets überwacht wird, sofern diese über internationale Kommunikationswege läuft, was, wie wir wissen, sehr häufig der Fall ist. Das Internet ist eben gerade keine nationale Angelegenheit.

Interessanter war aber der rhetorische Schwenk den Angela Merkel dann vollzogen hat (ab Minute 2: 52). Sie behauptet nämlich, dass es „außerhalb des deutschen Staatsgebietes“ Länder geben würde, die ein völlig anderes Datenschutzrecht hätten und nennt anschließend ausdrücklich Großbritannien, USA und Irland.

Das ist datenschutzrechtlich in Bezug auf Großbritannien und Irland natürlich falsch. Denn beide Länder sind Mitglied der EU, d.h. dort wurden ebenfalls die Datenschutzrichtlinie und andere datenschutzrechtlichen Regelungen umgesetzt. Die Mitgliedsstaaten der EU haben ein in weiten Teilen harmonisiertes Datenschutzrecht. Dass es in einigen Staaten wie Irland Defizite bei der Umsetzung gegeben hat, mag sein. Das rechtfertigt es aber nicht, so zu tun, als würde es innerhalb der EU ein vollkommen unterschiedliches und uneinheitliches Datenschutzniveau geben.

Das Problem ist ein ganz anderes. Das europäische Datenschutzrecht regelt den öffentlichen Bereich nicht. Der Entwurf einer Datenschutzgrundverordnung – der von Angela Merkel im Fernsehduell auch explizit angesprochen wurde – klammert die Datenerhebung und Datenverarbeitung durch Behörden und öffentliche Stellen gezielt aus.

In Art. 2 Nr. 2 des Verorndungsentwurfs heißt es hierzu u.a.:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten, die vorgenommen wird

a) im Rahmen einer Tätigkeit, die nicht in den Geltungsbereich des Unionsrechts fällt, etwa im Bereich der nationalen Sicherheit,
(…)
e) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden.

Das bedeutet, europäisches Datenschutzrecht soll auch künftig nicht für den Bereich der nationalen/inneren Sicherheit der Mitgliedsstaaten und den Bereich der Strafverfolgung gelten. Das heißt natürlich auch, dass die Tätigkeit von Geheimdiensten und Polizeibehörden nicht den datenschutzrechtlichen Vorschriften des EU-Rechts unterliegt. Wenn also beispielsweise der britische Dienst GCHQ oder der BND Daten erhebt, dann wird dafür auch in Zukunft nicht das europäische Datenschutzrecht der Maßstab sein. Die USA unterliegen als Nicht-EU-Mitglied erst recht nicht den Bindungen des europäischen Datenschutzrechts. Man könnte allenfalls europäische Stellen (Unternehmen und öffentliche Stellen) dazu zwingen, keine Daten mehr an einen sog. unsicheren Drittstaat, für den man die USA dann halten müsste, zu übermitteln. Das würde allerdings den Internetverkehr zum Erliegen bringen und stellt vermutlich nicht mal ein halbwegs ernsthaftes Drohszenario dar, auf das man Verhandlungen aufbauen könnte. Das gilt umso mehr, als auch europäische Geheimdienste ganz ähnliche Überwachungsmaßnahmen praktizieren wie die US-Dienste.

Der Schwenk Angela Merkels auf die Datenschutzgrundverordnung hat also vom eigentlichen Thema abgelenkt und war eine typische Nebelkerze.

Was mich bei dem TV-Duell aber noch viel stärker erstaunt hat, als die erwartbaren Ausflüchte zur Geheimdienstaffäre, war beispielsweise die Aussage Merkels, Renten würden in Deutschland nicht besteuert werden. Und vier hochbezahlte Journalisten lassen ihr diese Falschbehauptung ohne jede Nachfrage durchgehen. Auch in der heutigen Berichterstattung habe ich dazu nichts gelesen. Von Fakten muss man sich in diesem Wahlkampf als Kanzlerin bzw. Kandidat offenbar nicht beirren lassen.

Der Spiegel meldet, dass der Bundesnachrichtendienst (BND) allein im Monat Dezember 2012 500 Millionen Metadaten erfasst habe, die anschließend z.T. auch an die NSA weitergeleitet worden seien. Laut Deutschlandradio hat der BND dies mittlerweile eingeräumt, beteuert aber gleichzeitig , dass es sich um ausländische TK-Verbindungen handeln würde und personenbezogene Daten deutscher Staatsbürger nicht betroffen seien.

Die Aussage halte ich bereits deshalb für fragwürdig, weil man anhand von Metadaten nicht zwingend feststellen kann, ob einer der Betroffenen Kommunikationsteilnehmer Deutscher ist und/oder sich gerader im Inland aufhält. Der BND kann also überhaupt nicht gewährleisten, dass deutsche Staatsbürger und Kommunikationsverbindungen mit Inlandsbezug nicht betroffen sind.

Die massenhafte Erfassung von TK-Verbindungsdaten wirft aber einmal mehr die Frage der politischen und parlamentarischen Kontrolle der Dienste auf. Das Bundesministerium des Inneren unterrichtet nach § 10 Abs. 1 G1o-Gesetz das Parlamentarische Kontrollgremium über die Durchführung des G10-Gesetzes. Das Gremium erstattet dem Deutschen Bundestag dann jährlich einen Bericht über die Durchführung sowie Art und Umfang der Maßnahmen, u.a. nach § 5 G10-Gesetz (sog. strategische Fernmeldekontrolle). In der letzten Unterrichtung des Bundestages durch das parlamentarische Kontrollgremium vom 14.03.2013 findet man nichts über die massenhafte Erfassung von TK-Verbindungsdaten durch den BND. Augenscheinlich ist das Parlament über diese massenhafte Datenerfassung nicht unterrichtet worden. Nachdem Beschränkungen von Art. 10 GG nach § 9 Abs. 1  G10-Gesetz nur auf Antrag des BND angeordnet werden, stellt sich ferner die Frage, ob es für die Erfassung von Meta-Daten einen Antrag des BND und eine entsprechend Anordnung durch Innenminister Friedrich gibt.

Die Übermittlung von Daten an ausländische Dienste ist in § 7a G10-Gesetz geregelt. Danach dürfen personenbezogene Daten, die im Wege der sog. strategischen Fernmeldekontrolle erhoben wurden, unter bestimmten Voraussetzungen an ausländische Dienste übermittelt werden. Voraussetzung ist es aber, dass die Übermittlung zur Wahrung außen- oder sicherheitspolitischer Belange der Bundesrepublik Deutschland oder erheblicher Sicherheitsinteressen des ausländischen Staates erforderlich ist und überwiegende schutzwürdige Interessen des Betroffenen nicht entgegenstehen, insbesondere in dem ausländischen Staat ein angemessenes Datenschutzniveau gewährleistet ist sowie davon auszugehen ist, dass die Verwendung der Daten durch den Empfänger in Einklang mit grundlegenden rechtsstaatlichen Prinzipien erfolgt.

Bereits dies dürfte bei einer Übermittlung an die NSA, wie die Snowden-Enthüllungen zeigen, kaum mehr begründbar sein. Diese Übermittlung setzt außerdem eine Einzelfallprüfung voraus. Die massenhafte Übermittlung von Verbindungsdaten ist durch diese Vorschrift nicht gedeckt.

Hier kommt kommt dann noch ein weiterer interessanter Aspekt in Spiel. Diese Übermittlung bedarf nach § 7a Abs. 1 S. 2 G10-Gesetz der Zustimmung des Bundeskanzleramtes. Und an dieser Stelle haben wir dann den unmittelbaren Bezug zu Kanzleramtsminister Pofalla und Bundeskanzlerin Merkel. Sie müssen die Übermittlung an die NSA und andere ausländische Dienste nämlich ausdrücklich genehmigt haben. Die bisherige Strategie der Bundesregierung, man sei überrascht und habe von allen Überwachungsmaßnahmen auch erst aus der Presse erfahren, wird hier also nicht mehr verfangen.

Materiell-rechtlich besteht das Problem darin, dass der BND grundsätzlich keine Daten zu inländischen TK-Anschlüssen erheben darf. Telekommunikationsanschlüsse im Ausland dürfen zwar erfasst werden, aber nur dann, wenn ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden (§ 5 Abs. 2 S. 2 G10-Gesetz). Diese gesetzliche Einschränkung kann der BND jedenfalls bei einer massenhaften und automatisierten Erfassung von Verbindungsdaten (500 Millionen in einem Monat) nicht gewährleisten. Man kann bei Verbindungsdaten wie Telefonnummern, IP-Adressen oder E-Mail-Adressen nicht ausschließen, dass Inhaber oder regelmäßige Nutzer Deutsche sind und/oder die Verbindungsdaten Inlandsbezug haben.

Allein aus den öffentlich bekannten Informationen lässt sich also der Schluss ziehen, dass der BND die Vorgaben des G10-Gesetzes nicht befolgen kann und sich deshalb rechtswidrig verhält.

Viel wichtiger erscheint mir aber der Umstand, dass wir es jetzt mit einer Überwachungsmaßnahme zu tun haben, die direkt in den Verantwortungsbereich der Minister Friedrich und Pofalla fällt. Die Bundesregierung kann sich in diesem Fall also nicht auf Unkenntnis berufen.

Das Bundesamt für Verfassungsschutz will offenbar seine Öffentlichkeitsarbeit verbessern und bietet neuerdings einen Newsletter an. Um den Newsletter abonnieren zu können, muss man allerdings einer eher langen Datenschutzerklärung zustimmen, die u.a. die Speicherung der IP-Adresse des Nutzers vorsieht.

Die Frage ist allerdings, ob diese Daten tatsächlich erhoben werden dürfen, denn für die Erbringung des Dienstes (Versand eines kostenlosen Newsletters) ist zwar eine E-Mail-Adresse erforderlich, aber nicht die Erfassung der IP-Adresse mit der der Nutzer das Angebot des Verfassungsschutzes aufgerufen hat. Es dürfte mithin ein Verstoß gegen § 15 TMG vorliegen.

Man hat außerdem natürlich als Bürger ein schlechtes Gefühl, wenn einem ausgerechnet der Verfassungsschutz sagt, dass man für den Versand eines Newsletters die IP-Adresse speichert.

Der Bundesdatenschutzbeauftragte ist für die Einhaltung der datenschutzrechtlichen Bestimmungen durch das Bundesamt für Verfassungsschutz zuständig und sollte diese Sache deshalb prüfen. Peter Schaar, bitte übernehmen Sie!

(via Holger Schmidt)

Ob Verstöße gegen das Datenschutzrecht zugleich auch wettbewerbswidrig sind, ist eine alte Streitfrage, die die Gerichte unterschiedlich beurteilen. Der Knackpunkt ist die Fragestellung, ob es sich bei datenschutzrechtlichen Vorschriften um sog. Marktverhaltensregeln im Sinne von § 4 Nr. 11 UWG handelt.

Allgemein wird überwiegend die Auffassung vertreten, dass datenschutzrechtliche Vorschriften nicht generell Marktverhaltensregeln darstellen, sondern für jede einzelne Norm die Frage zu stellen ist, ob die fragliche Norm auch das Verhalten am Markt regelt und damit auch die Interessen der Betroffenen als Marktteilnehmer schützt.

Im Einzelfall gehen die Ansichten dazu dann allerdings wiederum auseinander, weshalb es eine ganze Reihe divergierender Entscheidungen gibt.

Das OLG Hamburg hat jetzt mit Urteil vom 27.06.2013 (Az.: 3 U 26/12) entschieden, dass die Vorschrift des § 13 Abs. 1 TMG eine Marktverhaltensregel darstellt, mit der erheblichen praktischen Konsequenz, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet.

Die Begründung des OLG Hamburg hierzu lautet:

Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d).

Carlo Piltz hat die Entscheidung ausführlich in seinem Blog besprochen.

Der Generalanwalt beim Europäischen Gerichtshof hat in seinem Schlussantrag vom 25.06.2013 in einem Rechtsstreit zwischen Google und der spanischen Datenschutzaufsichtsbehörde (Az.: C -131/12) bemerkenswerte Rechtsauffassungen vertreten. Der EuGH ist an die Einschätzung des Generalanwalts nicht gebunden, folgt ihr aber zumeist.

Google wendet sich mit seiner Klage gegen eine Löschungsaufforderung der spanischen Datenschutzbehörde, die von Google verlangt hatte, Suchergebnisse zu löschen, die nach Eingabe des Namens einer bestimmten Person in die Suchmaske der Suchmaschine angezeigt wurden.

Der Generalanwalt ist zunächst der Ansicht, dass spanisches Datenschutzrecht auf Google auch dann anwendbar ist, wenn Goggle lediglich werbende nationale Tochterunternehmen unterhält, wie z.B. in Spanien oder auch in Deutschland. Er schlägt dem EuGH insoweit vor festzustellen,

dass die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung des für die Verarbeitung Verantwortlichen stattfindet und daher nationale Datenschutzbestimmungen auf einen Suchmaschinenbetreiber anwendbar sind, wenn dieser in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

Im Hinblick auf die Frage einer datenschutzrechtlichen Haftung/Verantwortlichkeit von Google ist der Generalanwalt allerdings der Ansicht, dass der Betreiber einer Suchmaschine hinsichtlich personenbezogener Daten auf Quellenwebseiten, die auf dem Server eines Dritten gehostet werden, weder rechtlich noch tatsächlich die in der Datenschutz-Richtlinie vorgesehenen Pflichten eines für die Verarbeitung Verantwortlichen erfüllen kann. Eine nationale Datenschutzbehörde kann einen Internetsuchmaschinen-Diensteanbieter deshalb nicht zur Entfernung von Informationen aus seinem Index verpflichten, es sei denn, der Diensteanbieter hat exclusion codes nicht beachtet oder ist einer Aufforderung seitens des Websitebetreibers zur Aktualisierung des Cache nicht nachgekommen.

Der Generalanwalt stellt außerdem klar, dass die geltende Richtlinie auch unter Berücksichtigung der Grundrechtecharta kein allgemeines „Recht auf Vergessenwerden“ kennt und Suchmaschinenbetreiber deshalb auch unter diesem Aspekt nicht zu einer Bereinigung des Index verpflichtet sind.

Man darf auf die Entscheidung des EuGH gespannt sein.

Der Europäische Gerichtshof (EuGH) hat die Vorlagen des irischen High Court und des österreichischen Verfassungsgerichtshofs zur Frage der Vereinbarkeit der Richtlinie über die Vorratsdatenspeicherung mit der Grundrechtecharta verbunden und verhandelt hierüber am 09.07.2013. Das berichtet Hans Peter Lehofer in seinem Blog e-comm.

Der EuGH möchte von den Verfahrensbeteiligten u.a. erläutert haben, ob die Vorratsdatenspeicherung dem Ziel der Feststellung und Verfolgung von schweren Straftaten dienen kann und welche Auswirkungen es hat, dass zahlreiche Möglichkeiten zur anonymen Nutzung der elektronischen Kommunikationsdienste bestehen.

Außerdem erwartet der EuGH Ausführungen zu der Frage, ob und inwieweit es möglich ist, anhand der gespeicherten Daten Persönlichkeitsprofile zu erstellen und zu benutzen, aus denen sich – unabhängig von der Frage nach der Rechtmäßigkeit eines derartigen Vorgehens – das soziale und berufliche Umfeld einer Person, ihre Gewohnheiten und Tätigkeiten ergeben.

Die Verfahrensbeteiligten sollen dem EuGH ferner folgende Fragen beantworten:

 a. Auf welche objektiven Kriterien hat der Unionsgesetzgeber seine Entscheidung beim Erlass der Richtlinie 2006/24 gestützt?
b. Aufgrund welcher Daten konnte der Gesetzgeber den Nutzen der Vorratsspeicherung von Daten fur die Feststellung und Verfolgung von schweren Straftaten einschätzen?
c. Aufgrund welcher Daten konnte der Gesetzgeber davon ausgehen, dass eine Speicherung der Daten über einen Zeitraum von rnindestens sechs Monaten erforderlich ist?
d. Gibt es Statistiken, die darauf schließen lassen, dass sich die Feststellung und Verfolgung von schweren Straftaten seit dem Erlass der Richtlinie 2006/24 verbessert hat?

Das könnte durchaus interessant werden, weil es beispielsweise nach einer Studie des MPI keine Erkenntnisse über einen Nutzen der Vorratsdatenspeicherung im Bereich der Terrorbekämpfung gibt. Auch im Zuge der von der Kommission durchgeführten Evaluierung gab es keine wirklich belastbaren Daten aus den Mitgliedsstaaten diesbezüglich.

Der Europäische Datenschutzbeauftragte wurde ebenfalls um eine Stellungnahme gebeten.

(via e-comm)

Richard Gutjahr berichtet heute in seinem Blog über ein Datenschutzranking der Initiative Lobbyplag. Dort wird dargestellt, welche Abgeordneten und Parteien Änderungsanträge zur geplanten Datenschutzgrundverordnung eingebracht haben, die den Datenschutz entweder stärken oder schwächen.

Nach Lektüre des Beitrags ist man allerdings nicht viel schlauer als vorher. Denn wie dieses Ranking zustande gekommen ist, erschließt sich dem oberflächlichen Betrachter nicht, auch wenn Lobbyplag die Vorgehensweise und Kriterien etwas ausführlicher beschreibt. Zentral ist in einem ersten Schritt nämlich immer die Frage, ob man den einzelnen Änderungsantrag als datenschutzfreundlich oder datenschutzfeindlich qualifiziert. Hierzu haben die Macher von Lobbyplag mehr als 3.000 Änderungsanträge jeweils mit einem Plus oder einem Minus versehen oder auch als neutral bewertet.

Bereits bei einem kurzen beliebigen Blick auf einige Einzelbewertungen erkennt man Diskussionsbedarf. Ich möchte hierzu ein beliebiges Beispiel  herausgreifen, um zu zeigen, wie fragwürdig einzelne Bewertungen durch Lobbyplag sein können. Das Beispiel betrifft folgenden Änderungsvorschlag des Abgeordneten Axel Voss:

#413 – Recital 25
(25) Consent should be given explicitlyunambiguously by any appropriate method enabling a freely given specific and informed indication of the data subject’s wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject’s consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. The information provided in order for children to express the consent should be given in a clear and age-appropriate language, in a way that it would be easy to understand for a child above the age of 13.

Als schwächende Veränderung wurde hier gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff „explicitly“ durch „unambiguously“ ersetzt werden soll. Man kann das allerdings auch als sinnvolle Klarstellung bewerten. Denn der aktuelle Entwurfstext ist widersprüchlich. Er spricht einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  – also konkludentes Verhalten – ausreichend sein soll. Es erscheint mir sinnvoll, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Die weitere Einfügung des Abgeordneten Voss, wonach die Einwilligungserklärung gegenüber Kindern (über 13 Jahren) in einer klaren und altersgerechten Sprache abgefasst sein muss, ist meines Erachtens als datenschutzfreundliche Ergänzung zu qualifizieren.

Ich würde hier also die erste Änderung als neutral, aber sinnvoll und die zweite als datenschutzstärkend einstufen. Das ergibt dann, anders als bei Lobbyplag, in der Tendenz eine datenschutzfreundliche Wertung. Wenn mir solche Fälle schon bei einer ersten beliebigen Draufsicht auffallen, muss ich unterstellen, dass sich zahlreiche fragwürdige Bewertungen finden lassen. Die Zeit, mehr als 3.000 Einzelbewertungen zu überprüfen, habe ich allerdings nicht. Solche Ungereimtheiten bleiben dem normale Nutzer, der sich nicht in die Einzelheiten vertieft, aber zwangsläufig verborgen.

Jenseits der Einzelbewertungen bestehen aber ganz grundlegende methodische Bedenken gegen das Vorgehen von Lobbyplag. Das Datenschutzranking ist von einem Tunnelblick geprägt und blendet die komplexen Wechselwirkungen zu anderen Rechtspositionen und legitimen Interessen gänzlich aus.

Das Recht auf Schutz personenbezogener Daten bzw. das Grundrecht auf informationelle Selbstbestimmung steht, wie jedes Grundrecht, im ständigen Spannungsverhältnis zu anderen Rechten und Grundwerten. Es kann also durchaus sein, dass eine Änderung, die man isoliert als Schwächung des Datenschutzes bewerten kann, gleichzeitig das Recht auf Meinungs- oder Informationsfreiheit stärkt, um nur eines der bekannten Spannungsfelder zu nennen. Und natürlich müssen und dürfen auch legitime wirtschaftliche Interessen berücksichtigt werden. Dass vordergründig datenschutzfreundliche Änderungsvorschläge zu Lasten der Kommunikationsfreiheiten gehen können, habe ich bereits früher erläutert. Carlo Piltz hat einen anderen vermeintlich datenschutzfreundlichen Aspekt der Datenschutzgrundverordnung, das geplante Recht auf Datenübertragbarkeit, kritisch beleuchtet und hinterfragt. Ob man also etwas als datenschutzfreundlich bewertet oder nicht, besagt noch nichts darüber, ob eine Regelung in einem größeren Kontext als ausgewogen und vor allen Dingen – woran es im ganzen Datenschutzrecht erheblich krankt – praxistauglich zu bewerten ist. Die Einteilung in gut oder böse bzw. hier in datenschutzfreundlich und datenschutzfeindlich lässt die komplexe Wechselwirkung mit anderen Rechtspositionen völlig außer Betracht. Genau das müsste aber analysiert und bewertet werden. Dieses Ranking nimmt keinerlei Interessenabwägung vor und das ist wohl auch nicht sein Anliegen. Sein Ansatz ist vielmehr monokausal.

Gerade deshalb ist es aber aus rechtswissenschaftlicher Sicht nicht wirklich brauchbar und hilfreich. Der methodische Ansatz den Lobbyplag gewählt hat, ist nicht geeignet, den notwendigen komplexen Abwägungsprozess abzubilden.

Der BGH hat heute entschieden, dass sich ein Privatermittler, der am Auto der von ihm observierten „Zielperson“ einen GPS-Empfänger – vermutlich eher einen Sender – anbringt und dadurch ermittelt, wann sich das Fahrzeug wo aufhält, grundsätzlich nach §§ 44, 43 Abs. 2 BDSG strafbar macht (Urteil vom 4. Juni 2013, Az.:  1 StR 32/13).

Für die Frage, ob die Gestattungstatbestände der § 28 oder 29 BDSG eine solche Datenerhebung erlauben, ist zwar eine Abwägung der widerstreitenden Interessen im Einzelfall erforderlich. Nach Ansicht des BGH kann aber nur bei Vorliegen eines starken berechtigten Interesses an dieser Datenerhebung die Abwägung ausnahmsweise (etwa in notwehrähnlichen Situationen) ergeben, dass das Merkmal des unbefugten Handelns bei diesen Einsätzen von GPS-Empfängern zu verneinen ist.

Die Entscheidung dürfte grundsätzlich für Fälle von Geotargeting bzw. Geolocation ohne ausreichende datenschutzrechtliche Einwilligung des Betroffenen von Bedeutung sein.

Quelle: Pressemitteilung des BGH