Internet-Law

Gerade habe ich versucht, mich online zum Netzkongress der CSU anzumelden. Aber die CSU macht die Anmeldung davon abhängig, dass man sich mit der Zusendung aktueller Informationen zur Politik, den Veranstaltungen und den Terminen der CSU einverstanden erklärt und mit einer Speicherung und Verwendung der Anmeldedaten zu diesem Zweck. Wenn man das entsprechende Häkchen nicht setzt, kann man sich nicht zum Netzkongress anmelden, sondern erhält den Hinweis, dass die „Datenschutz-Zustimmung“ fehlt:

Anmelden kann sich online bei der CSU also nur, wer gleichzeitig erklärt, dass sein E-Mail-Account mit politischer Information bzw. Werbung geflutet werden darf und diesbezüglich natürlich auch in die Speicherung seiner Anmeldedaten einwilligt.

Nachdem insoweit von einer Datenschutz-Zustimmung – gemeint ist wohl eine Einwilligung – die Rede ist, müssen auch die Vorgaben des § 13 Abs. 2 TMG beachtet werden. Zudem müsste die Einwilligungserklärung getrennt von anderen Erklärungen stehen und gesondert hervorgehoben sein.

Liebe CSU, ich wäre gern zu eurem Netzkongress gekommen, aber ich glaube so wird das nichts mit uns.

Die Diskussion um Stuttgart21 ist deutlich abgeflaut. Aber mit den fragwürdigen Methoden, derer sich Polizei und Staatsanwaltschaft mit teilweiser Billigung der Gerichte bedient haben, gilt es sich weiterhin auseinandersetzen.

Ein gutes Beispiel liefert der Fall des pensionierten Vorsitzenden Richters am Landgericht Dieter Reicherter. Er wurde zum Gegner von Stuttgart21, nachdem er mehr oder minder zufällig miterlebt hat, mit welcher Brutalität die Polizei im Stuttgarter Schlosspark gegen friedliche Demonstranten vorgegangen ist.

Das Wort eines ehemaligen Vorsitzenden Richters hat in einem Staat, der sich als Rechtsstaat begreift und es meistens auch noch ist, manchmal etwas mehr Gewicht als das eines x-beliebigen Demonstranten. Was natürlich diejenigen, die Polizeigewalt bestreiten oder relativieren wollen, als Gefahr empfinden müssen.

Am 27.06.2012 durchsuchte die Polizei das Haus von Dieter Reicherter, der sich gerade in London aufhielt und beschlagnahmte einen Computer und ein Notebook. Ohne richterliche Anordnung – wie Reicherter sagt – wurde eine umfassende Auswertung seiner Rechner durchgeführt. Reichterter schildert dies in einem Brief an verschiedene Beteiligte, deren E-Mails mitbeschlagnahmt und ausgewertet wurden. Darunter ist auch der E-Mail-Verkehr mit einem Journalisten der taz. Brisant daran ist u.a., dass die Rechner Reicherters nach dem Auswertungsbericht auch ganz gezielt, nach dem Namen des taz-Journalisten durchsucht wurden. In einem Untersuchungsbericht wird umfassend aus den E-Mails, die der Journalist und der pensionierte Richter gewechselt haben, zitiert.

Hintergrund der Beschlagnahmeaktion war, dass Reicherter im Februar 2012 den Rahmenbefehl Nr. 2 des Innenministeriums von Baden-Württemberg, in dem die Bespitzelung und Überwachung von Gegnern des Bahnprojekts Stuttgart21 angeordnet wurde, öffentlich zitiert hatte. Die Beschlagnahme diente dem Zweck, den Informanten zu ermitteln, Reicherter selbst wurde keiner Straftat beschuldigt. Der Tatvorwurf gegen den Polizeibeamten, den man als undichte Stelle vermutet, dürfte sich auf § 353b StGB stützen. Danach ist die Verletzung des Dienstgeheimnisses strafbar, sofern durch die Offenbarung wichtige öffentliche Interessen gefährdet werden. Wenn das Geheimnis allerdings illegal ist, kann es durchaus auch am Deliktsmerkmal „unbefugt“ fehlen. Außerdem fragt man sich unweigerlich, durch wen hier eigentlich wichtige öffentliche Interessen gefährdet werden. Die Rechtmäßigkeit der Beschlagnahme und vor allen Dingen der umfassenden Auswertung des gesamten E-Mail-Verkehrs Reicherters darf man in Zweifel ziehen.

Wenn ich von solchen Vorgängen lese, wird mir immer wieder ein Zusammenhang bewusst. Die ständige Ausweitung von präventiven und repressiven polizeilichen Befugnissen, u.a. im Bereich der TK-Überwachung, wäre leichter zu verschmerzen, wenn man sich als Bürger darauf verlassen könnte, dass bei Polizei, Staatsanwaltschaften und Gerichten Menschen mit Augenmaß agieren, die die rechtsstaatlichen Vorgaben immer fest im Blick haben. Aber darauf kann man sich als Bürger leider nicht verlassen. Vielmehr sehen wir uns in zunehmendem Maße einem Apparat von Ermittlungsbehörden gegenüber, der oft genug Ermittlungen um jeden Preis anstellt und dem verfassungsrechtliche Einschränkungen nur noch als lästiger Ballast erscheinen, den es abzustreifen gilt.

Und an dieser Stelle fängt man als Jurist irgendwann auch an zu bedauern, dass es in Deutschland keine Fruit Of The Poisonous Tree Doctrine gibt. Denn der Verstoß gegen das Gesetz hat für Ermittlungsbehörden im Regelfall keinerlei Konsequenzen und die so gewonnenen Erkenntnisse können zumeist auch uneingeschränkt verwertet werden, sofern nicht ein spezifisches Beweisverwertungsverbot eingreift. Weil man das natürlich weiß, schert man sich oftmals um rechtsstaatliche Vorgaben nicht mehr, zumal man sich ja auf der guten Seite wähnt. Der Rechtsstaat wird dadurch auf Dauer von den Ermittlern stärker ausgehöhlt, als von denen, gegen die ermittelt wird.

Die mangelnde rechtsstaatliche Gesinnung bei Polizei, Staatsanwaltschaften und in Teilen der Richterschaft einerseits und die Schaffung immer neuer und weitreichender Eingriffsbefugnisse durch den Gesetzgeber andererseits, ergeben einen gefährlichen Cocktail.

Leider interessieren und engagieren sich in diesem Land immer noch zu wenig Menschen für Bürgerrechte. Vermutlich auch deshalb, weil sie glauben, dass dieser Staat in diesem Bereich kaum Defizite aufweist. Das allerdings ist ein Irrtum, der auch auf mangelnder Information beruht. Und die Informationsunterdrückung ist gerade auch in der Causa Reicherter von zentraler Bedeutung. Wenn sich diejenigen, die Informationen unterdrücken wollen, aber auch noch den Instrumenten des Strafrechts bedienen können um ihr Ziel zu erreichen, müssen die Bürgerrechte einen schweren Stand haben.

Was vielen Juristen schon länger klar war, ist nunmehr in Deutschland auch erstmals gerichtlich bestätigt worden. Mehrere von Apple verwendete Datenschutzklauseln sind rechtswidrig.

Das Landgericht Berlin (Urteil vom 30.04.2013, AZ.: 15 O 92/12) verurteile Apple, auf eine Klage des Verbraucherzentrale Bundesverband e.V. hin, zur Unterlassung von insgesamt acht für Apple zentralen Datenschutzklauseln.

Danach ist die Regelung, nach der Apple und seine verbundenen Unternehmen die Kundendaten untereinander austauschen und mit anderen Daten verbinden können, ebenso unwirksam, wie die Klausel, dass Apple auch Daten von Freunden und Familienangehörigen erheben darf, die der Apple-Kunde im Rahmen des Produktversandes oder aus anderen Gründen zur Verfügung stellt. Unwirksam ist zudem die Klausel, wonach die Erhebung von personenbezogenen Daten gleichzeitig dazu berechtigt, den Kunden über neue Produkte, Updates und Veranstaltungen zu informieren.

Auch die Klauseln, nach denen Apple die erhobenen Daten an strategische Partner und andere Dritte weitergeben darf, um beispielsweise Produkte zur Verfügung zu stellen oder Apple beim Marketing gegenüber Kunden zu helfen, hat das Landgericht Berlin beanstandet.

Ebenfalls rechtswidrig sind die Regeln zur Erhebung von Standortdaten der Apple-Nutzer (Geolocation).

Das Gericht beanstandet im Einzelnen immer wieder, dass Apple eine nur allgemeine und globale Einwilligung in Datenverarbeitungsprozesse einholt, ohne, dass der Kunde erfährt, welche Daten konkret betroffen sind. Auch die fehlende Erläuterung des Zwecks der Datenverarbeitung wird mehrfach beanstandet und bei der Datenweitergabe an Dritte auch die fehlende Information darüber, wer diese Dritten sind.

Apple wird diese Entscheidung vermutlich nicht rechtskräftig werden lassen und Berufung einlegen. Einige der Klauseln sind allerdings derart intransparent, dass man überwiegende Erfolgsaussichten von Apple wohl kaum attestieren kann.

Der vzbv geht in letzter Zeit verstärkt auch gegen die großen Player der TK- und IT-Wirtschaft vor und nimmt damit die Interessen der Nutzer und Verbraucher sehr effektiv wahr.

Der Kollege Dosch berichtet ebenfalls etwas ausführlicher über das Urteil.

Update:
Der Kollege Carlo Piltz thematisiert zu Recht die Frage, ob deutsches Datenschutzrecht hier überhaupt anwendbar ist und kritisiert die diesbezügliche Begründung des Landgerichts. In einem älteren Blogbeitrag habe ich am Beispiel Facebooks schon einmal dargelegt, weshalb ich deutsches Datenschutzrecht in derartigen Konstellationen für anwendbar halte. Die Frage ist freilich derzeit äußerst umstritten, wie aktuelle verwaltungsgerichtliche Entscheidungen aus Schleswig-Holstein zeigen.

Die vom Kollegen Härting geäußerte Kritik an der Entscheidung des Landgerichts Berlin teile ich nicht. Sie wählt bereits einen unzutreffenden Ansatz. Nach dem geltenden Recht ist eine Datenverarbeitung nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift die Datenverarbeitung erlaubt (§§ 4 Abs. 1 BDSG, 12 Abs. 1 TMG). Rechtsvorschriften, die die gerügte Datenverarbeitung erlauben würden, sind nicht ersichtlich.

Apple könnte sich also nur auf eine Einwilligung berufen, die man bei Apple in der Tat versucht im Hinblick auf diese Klauseln auch einzuholen. Die mir bekannten Einwilligungserklärungen von Apple genügen aber noch nicht einmal den formellen Anforderungen von § 13 Abs. 2 TMG. Weder kann der Nutzer den Inhalt der Einwilligung jederzeit abrufen, noch wird er darüber unterrichtet, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Inhaltlich gilt im deutschen Datenschutzrecht der Grundsatz der informierten Einwilligung. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Er muss also konkret darüber informiert werden, welche Daten erhoben werden und was mit diesen Daten dann genau passiert. Dazu findet man in den schwammigen Klauseln von Apple aber nichts erhellendes.

Die Klauseln von Apple weichen also von den wesentlichen Grundgedanken der §§ 12 Abs. 1 TMG, 4 Abs. 1 BDSG  ab und sind daher als AGB nach § 307 BGB unwirksam.

Facebook darf vorerst auch weiterhin die Konten von Nutzern, die nicht ihre Klarnamen angeben, sperren. Das Oberverwaltungsgericht Schleswig hat die Beschwerden des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen Eilentscheidungen des Verwaltungsgerichts Schleswig zurückgewiesen (Beschlüsse vom 22. April 2013, Az.: 4 MB 10/13 und 11/13).

Auch wenn es sich lediglich um ein Eilverfahren handelt, dürfte es damit für das ULD im Hauptsacheverfahren schwierig werden. Denn das OVG wird seine rechtliche Einschätzung, wonach Facebook nicht an deutsches Datenschutzrecht gebunden ist, vermutlich aufrecht erhalten. Aber vielleicht marschiert Thilo Weichert ja bis zum Bundesverwaltungsgericht.

Warum ich die Ansicht, Facebook sei nicht an deutsches Datenschutzrecht gebunden, für falsch halte und dennoch das Vorgehen des ULD nicht als gerechtfertigt ansehe, habe ich hier und hier erläutert.

Der Bayerische Landesbeauftragte für den Datenschutz hat 66 bayerische Behörden bzw. öffentliche Stellen aufgefordert, die direkte Einbindung von Social Plugins – wie den Gefällt-Mir-Button von Facebook – in ihren Internetauftritt zu unterlassen.

Nach Auffassung der Datenschutzbehörde ist die Einbindung von Social Plugins in die eigene Website datenschutzwidrig. In einer Orientierungshilfe für öffentliche Stellen erläutert der Datenschutzbeauftragte seine Rechtsauffassung folgendermaßen:

Durch eine bloße direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich eine entsprechende (Mit-)Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorgaben des Telemediengesetzes, beispielsweise §§ 12, 13 TMG, von dieser Behörde nicht erfüllt.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Diese Vorgaben des Bayerischen Datenschutzbeauftragten gelten unmittelbar nur für Behörden und öffentliche Stellen, da der Datenschutzbeauftragte in Bayern nur für den öffentlichen Bereich zuständig ist. Für Private, insbesondere Unternehmen, ist in Bayern das Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde. In einigen anderen Bundesländern existiert diese gesplittete Zuständigkeit nicht, dort ist vielmehr der Landesdatenschutzbeaftragte sowohl für den öffentlichen als auch den nichtöffentlichen Bereich zuständig.

Mir wurde heute eine nette kleine Anekdote zum Thema Datenschutz in Schilda Deutschland zugetragen. Der niedersächsische Datenschutzbeauftragte war bekanntlich ja schon immer mal für eine datenschutzrechtliche Groteske gut und er liefert auch aktuell wieder.

Denn der Landesdatenschutzbeauftragte verstößt – wie auch der gesamte Server niedersachsen.de – höchstselbst gegen datenschutzrechtliche Vorschriften.

Die Website des Landesdatenschutzbeauftragten enthält nämlich folgenden Tracking-Code des Tools Piwik:

In der Datenschutzerklärung des Landesdatenschutzbeauftragten findet sich dazu nichts. An anderer Stelle kann man allerdings beim Datenschutzbeauftragten den folgenden Hinweis finden:

Aus datenschutzrechtlicher Sicht sind viele der bekannten verwendeten Webtracking-Dienste unzulässig

Das würde ich so pauschal zwar nicht formulieren. Unzulässig ist es aber in jedem Fall dann, wenn man die Nutzer des Angebots nicht auf das Tracking hinweist. Die Nutzung des Tracking-Tools gehört wegen § 13 Abs. 1 TMG zumindest in die Datenschutzerklärung.

Wer kontrolliert eigentlich Datenschutzbehörden, die sich selbst nicht an die gesetzlichen Vorgaben halten?

Der BGH hat in einer neuen Entscheidung (Beschluss vom 5. Dezember 2012, Az.: I ZB 48/12), die heute veröffentlicht wurde, seine Rechtsprechung bestätigt, nach der in Fällen des Filesharing der Provider auch dann Auskunft über den Anschlussinhaber erteilen muss, wenn keine Rechtsverletzung in gewerblichem Ausmaß vorliegt. Diese Rechtsprechung steht jedenfalls nicht in Einklang mit der Gesetzesbegründung, weshalb sie zu einer kontroversen Diskussion geführt hat.

Der BGH sieht den Umstand, dass auch bei äußerst geringfügigen Rechtsverletzungen auf Verkehrsdaten zugegriffen und damit in das Fernmeldegeheimnis eingegriffen wird, weiterhin nicht als problematisch an. Formelhaft begründet der BGH das wie folgt:

Ein solcher Antrag ist vielmehr unter Abwägung der betroffenen Rechte des Rechtsinhabers, des Auskunftspflichtigen und der Nutzer sowie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit in aller Regel ohne weiteres begründet (vgl. BGH, GRUR 2012, 1026 Rn. 40 bis 52 – Alles kann besser werden).

Das bedeutet im Ergebnis, dass der BGH in diesen Fällen von vornherein keine Verhältnismäßigkeitsprüfung durchführt, was den verfassungsrechtlichen Anforderungen schwerlich genügt.

Der BGH hat in dieser neuen Entscheidung – entgegen der Rechtsprechung des OLG Köln – zudem ausgeführt, dass die Beschwerdefrist von zwei Wochen (§ 63 Abs. 3 FamFG) nicht für Beschwerden von Anschlussinhabern gegen die Gestattung der Auskunftserteilung nach § 101 Abs. 9 Satz 1 UrhG gilt. Der betroffene Anschlussinhaber ist nämlich kein am ursprünglichen Verfahren Beteiligter. Die Beschwerdefrist gilt auch deshalb nicht für die in ihren Rechten betroffenen Anschlussinhaber, weil sonst deren Anspruch auf rechtliches Gehör, ein faires Verfahren und die Gewährleistung von effektivem Rechtsschutz verletzt würde.

Davon haben die Anschlussinhaber aber nicht viel, da es kaum mehr Argumente gibt, gegen einen solchen Beschluss inhaltlich vorzugehen.

Ein Pendler, der auf seiner Fahrtstrecke regelmäßig Geräte zur automatisierten Kennzeichenerkennung und -erfassung passiert, hatte gegen den Freistaat Bayern auf Unterlassung geklagt, mit dem Ziel, dass der Freistaat Bayern Kennzeichen von auf ihn zugelassenen Fahrzeugen nicht mehr durch den verdeckten Einsatz automatisierter Kennzeichenerkennungssysteme erfassen und mit polizeilichen Dateien abgleichen darf. Es geht dem Kläger darum, eine ständige polizeiliche Überwachung in der Art eines „Bewegungsbildes“ zu verhindern.

Der Bayerische Verwaltungsgerichtshof (Urteil vom 17.12.2012, Az.: 10 BV 09.2641) sieht in der Maßnahme zwar einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung, hält die Vorschriften des Polizaufgabengesetzes, die diesen Eingriff rechtfertigen sollen, aber noch für verfassungskonform. Nach Art. 33 Abs. 2 S. 2 BayPAG können durch den verdeckten Einsatz automatisierter Kennzeichenerkennungssysteme bei Vorliegen entsprechender Lageerkenntnisse Kennzeichen von Kraftfahrzeugen sowie Ort, Datum, Uhrzeit und Fahrtrichtung erfasst werden. Zulässig ist unter gewissen Voraussetzungen auch der Abgleich der Kennzeichen mit polizeilichen Fahndungsbeständen. In den Urteilsgründen heißt es dazu u.a.:

Ein nicht mehr zu rechtfertigender Grundrechtseingriff bestünde des Weiteren bei einem routinehaften und flächendeckenden Einsatz der Erfassungssysteme. Auch insoweit hat der bayerische Gesetzgeber aber tatbestandliche Eingrenzungen vorgesehen. Nach Art. 33 Abs. 2 Satz 5 PAG ist der flächendeckende Einsatz der Kennzeichenerfassung grundsätzlich nicht erlaubt. Auch durch die Normierung von Anlass und Zweck sowie dem Erfordernis des Vorhandenseins bestimmter Lageerkenntnisse ist eine routinehafte Erfassung von vorneherein nicht zulässig.

Hier stellt sich allerdings ein Problem, das auf der Schnittstelle zwischen Bestimmtheit der Norm und Verhältnismäßigkeit anzusiedeln ist. Denn die relativ unklare und im Einzelfall schwer überprüfbare Voraussetzung, dass bestimmte Lageerkenntnisse vorhanden sein müssen, eröffnet den Behörden durch Behauptung entsprechender Gefährdungslagen einen weiten und effektiv nicht mehr nachprüfbaren Spielraum bei der Anordnung einer Kennzeichenerfassung.

Man merkt der Urteilsbegründung förmlich an, dass sich der Senat windet, zumal er betont, dass die gesetzliche Regelung trotz Bedenken hinsichtlich einzelner Gesichtspunkte bei der gebotenen Gesamtabwägung noch verhältnismäßig sei. Das ist eine staats- aber keine grundrechtsfreundliche Betrachtungsweise. Da liegt eine Verfassungsbeschwerde nahe.

Dass bei Facebook beim Thema Datenschutz einiges im Argen liegt, ist keine neue Erkenntnis. Dennoch kommen bei Facebook laufend neue Funktionalitäten hinzu, die datenschutzrechtliche Fragen aufwerfen.

Wer sich als Unternehmer auf Facebook bewegt und eine sog. Fanseite unterhält, kann dort Werbeanzeigen (Facebook Ads) erstellen. Hierzu ermöglicht Facebook es neuerdings auch, die Werbung auf ein „benutzerdefiniertes Publikum“ auszurichten, wie der Kollege Schwenke in seinem Blog erläutert. Hierzu bietet Facebook die Möglichkeit an, die Daten von Kunden bzw. Werbeadressaten hochzuladen, um den so definierten Adressatenkreis direkt zu erreichen.

Das ist jedenfalls dann, wenn die Daten aus der eigenen Kundendatenbank des Werbenden stammen, problematisch. Denn der Kunde hat im Regelfall keine datenschutzrechtliche Einwilligung dafür erteilt, die Daten an Facebook zu übermitteln und dort zum Zwecke der Einblendung von Werbeanzeigen zu nutzen.

Anders sieht es nach geltendem Recht allerdings dann aus, wenn es sich nicht um Kundendaten handelt, sondern wenn man die Daten der Werbeadressaten allgemein zugänglichen Quellen (Web oder Facebook) entnommen hat. Solche Daten dürfen nach § 28 Abs. 1 S.1 Nr. 3 BDSG verarbeitet werden.

Aber selbst eigene Kundendaten kann man dann zu Werbezwecken verarbeiten, wenn man das sog. Listenprivileg des § 28 Abs. 3 S. 2 BDSG beachtet. Danach dürfen listenmäßig zusammengefasste Daten über Angehörige einer bestimmten Personengruppe, die man im Rahmen der Begründung eines rechtsgeschäftlichen Schuldverhältnisses (also Kundendaten) erhalten oder allgemein zugänglichen Verzeichnissen entnommen hat, für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift verwendet werden.

Man kann also unter diesen Voraussetzungen die Daten von Geschäftskunden – nicht die von Verbrauchern – auch für die Schaltung individualisierter Werbeanzeigen benutzen. Allerdings sieht das Gesetz vor, dass die Betroffenen der Verarbeitung oder Nutzung ihrer Daten zu Werbezwecken widersprechen können und auf dieses Widerspruchsrecht bei der Werbeansprache oder Begründung des Vertragsverhältnisses hingewiesen werden muss (§ 28 Abs. 4 BDSG). Man müsste folglich als Werbender also in die Werbeanzeige einen Hinweis auf das Widerrufsrecht aufnehmen. In der datenschutzrechtlichen Literatur wird aber auch die Ansicht vertreten, dass nicht jede Werbung dem Widerspruchsrecht unterliegt, sondern nur solche zum Zwecke des Direktmarketings (Gola/Schomerus, BDSG, § 28, Rn. 61). Wenn man das Widerspruchsrecht derart einschränkend auslegt, wäre überhaupt keine Widerspruchsmöglichkeit bei bloßen Ads gegegeben.

Die Rechtslage ist also nicht gänzlich eindeutig, aber meines Erachtens ermöglicht das Listenprivileg des BDSG durchaus auch eine gezielte Ausrichtung von Ad-Kampagnen auf Geschäftskunden und erst recht auf Unternehmen, die noch keine Kunden sind.

Ob man das rechtspolitisch für sinnvoll hält, ist eine ganz andere Frage. Das deutsche Datenschutzrecht sieht eben nach wie vor eine deutliche Privilegierung der Datenverarbeitung für Werbezwecke vor, was die Folge erfolgreicher Lobbyarbeit von Wirtschaftsverbänden ist.

Die sog. Bestandsdatenauskunft von TK-Anbietern gegenüber Sicherheits- und Strafverfolgungsbehörden muss wegen einer Entscheidung des Bundesverfassungsgerichts neu geregelt werden. Darüber hatte ich im letzten Jahr bereits ausführlich berichtet.

Der Gesetzesentwurf befindet sich mittlerweile im Gesetzgebungsverfahren, der Innenausschuss hat heute dazu eine Sachverständigenanhörung durchgeführt. Die Einschätzungen der Sachverständigen waren erwartungsgemäß unterschiedlich.

Für lesenswerte halte ich die schriftliche Stellungnahme von Prof. Matthias Bäcker, der die Ansicht vertritt, dass der Entwurf einer Neufassung des § 113 TKG teils die Kompetenzordnung des Grundgesetzes verletzt, reglungsbedürftige Fragen nicht regelt und deshalb gegen Grundrechte verstößt.

Bäcker geht insbesondere davon aus, dass der Bund (im TKG) abschließend regeln muss, aus welchen Anlässen und zu welchen Zielen die Daten übermittelt werden dürfen und dies nicht den fachspezifischen Regelungen von Bund und Ländern überlassen werden darf. Denn der Zweckbindungsgrundsatz erfordert laut Bäcker, dass eine solche Regelung unmittelbar im TKG erfolgt. Der Entwurf regelt aber in 113 Abs. 3 TKG-E nur, an welche Behörden die Daten übermittelt werden dürfen, nicht aber, unter welchen Voraussetzungen dies zulässig ist.

Ferner hält Bäcker beispielsweise auch die geplante Abfrageermächtigung im BKA-Gesetz für verfassungswidrig, weil die in § 7 Abs. 3 BKAG-E enthaltene Ermächtigung dem Bundeskriminalamt in seiner Funktion als Zentralstelle eine zu weitreichende Befugnis zu Bestandsdatenabrufen im Vorfeld konkreter Gefahren oder strafprozessualer Verdachtslagen einräumt. Die vorgesehene Regelung ermöglicht dem BKA laut Bäcker Bestandsdatenabfragen zur Unterstützung von kriminalstrategischen Analysen zu nutzen, die es unabhängig von konkreten Verdachtsmomenten durchführt kann.

Darin könnte man eine Art kleine Vorratsdatenspeicherung durch die Hintertür sehen. Dies ist jetzt allerdings meine eigene Schlussfolgerung und nicht die von Bäcker. Denn wenn das BKA aufgrund einer zu weitreichenden Ermächtigungsnorm verdachtsunabhängig Daten anfordern – und anschließend natürlich auch speichern – kann, wird damit in gewissem Maße faktisch auch eine anlassunabhängige Speicherung von Daten ermöglicht, die später u.U. unkontrolliert für andere strafprozessuale oder präventive Zwecke Verwendung finden könnten.