Internet-Law

Laut einem Bericht von Heise vom 29. Chaos Communication Congress des CCC warnen Bürgerrechtler vor einem Scheitern der EU-Datenschutzreform.

Wenn ich so etwas lese, reibe ich mir verwundert die Augen. Aus bürgerrechtlicher Sicht würde ich ein Scheitern der EU-Datenschutzreform in ihrer jetzigen Form vielmehr ausdrücklich begrüßen. Denn die geplante Datenschutzgrundverordnung halte ich gerade aus netzpolitischer und bügerrechtlicher Sicht für untragbar. Warum ich das so sehe, kann man hier nachlesen.

Das Unabhängigen Landeszentrum Schleswig-Holstein (ULD) hat Facebook – nämlich die Facebook Inc. und die Facebook Ltd. – per Verwaltungsakt förmlich verpflichtet, für alle natürlichen Personen, die Facebook in Schleswig-Holstein nutzen möchten, sicherzustellen, dass sich die Nutzer anstelle über Eingabe von Echtdaten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) auch durch Eingabe eines Pseudonyms für Facebook registrieren können.

Facebook wird vom ULD ferner verpflichtet, registrierte Personen – aus Schleswig-Holstein – die allein wegen der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt sind, zu entsperren. Dieser Teil der Verfügung wurde sogar für sofort vollziehbar erklärt.

Außerdem muss Facebook die Nutzer vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms informieren.

Das ULD hat ihre Verfügung im Wortlaut veröffentlicht.

Die Anordnung des ULD erscheint auf den ersten Blick kühn und man stellt sich die Frage, wie das wohl tatsächlich durchgesetzt werden soll. Andererseits nimmt das ULD nunmehr endlich Facebook direkt in Anspruch und wählt nicht wie beim Thema Like-Button den Umweg über die Nutzer.

Update:
Ob sich eine solche Verfügung tatsächlich auf § 13 Abs. 6 TMG stützen lässt, ist allerdings aus zwei Gründen zweifelhaft. § 13 Abs. 6 TMG verpflichtet die Diensteanbieter nur dazu, eine anonyme oder pseudonyme Nutzung zu ermöglichen. Eine pseudonyme Nutzung ist aber auch dann möglich, wenn man sich mit Klarnamen registrieren muss. Denn das Gesetz verlangt gerade keine anonyme Nutzungsmöglichkeit, sondern stellt es dem Diensteanbieter frei, ob er eine anonyme oder nur eine pseudonyme Nutzung ermöglicht.

Außerdem unterliegen möglicherweise auch Facebookprofile der Impressumspflicht des § 55 RStV oder des § 5 TMG weil sie selbst Telemedien sind. Es besteht dann das Problem, dass jemand gleichzeitig Nutzer und Anbieter eines Telemediums ist. Wer aber gesetzlich verpflichtet ist, Name und Anschrift zu nennen, kann ohnehin nicht anonym oder pseudonym nutzen.

Bei der anlasslosen Speicherung von TK-Verbindungs- und Standortdaten hat das BVerfG in der Entscheidung zur Vorratsdatenspeicherung eine Speicherdauer von 6 Monaten als gerade noch verfassungsgemäß betrachtet.

Die EU will jetzt eine Richtlinie verabschieden, die die Speicherung von Fluggastdaten für die Dauer von fünf Jahren vorsieht. Zu dem Thema hatte ich schon einmal gebloggt. Es handelt sich dabei letztlich ebenfalls um Verbindungs- und Standortdaten, die speziell bei Vielfliegern auch die Erstellung von Bewegungsprofilen ermöglichen. Die Airlines sollen Daten wie Name, Anschrift, Reiseziel, Sitzplatzreservierung und Zahlungsmittel an eine sog. PNR-Zentralstelle weiterleiten, die in jedem Mitgliedsstaat errichtet wird. Diese Zentralstelle soll diese Daten verarbeiten dürfen, wenn der Verdacht einer schweren Straftat besteht. In diesem Fall darf  die PNR-Zentralstelle die Verarbeitung der Daten anhand im Voraus festgelegter Kriterien vornehmen. Das ist letztlich nichts anderes als eine Rasterfahndung.

Der Innenausschuss des EU-Parlaments wird nächste Woche über das Vorhaben abstimmen. Diese Abstimmung wird wohl bereits vorentscheidend sein für die Abstimmung im Plenum.

Mir stellt sich bei derartigen Vorhaben, die vor 10 Jahren noch jeder in den Bereich der Überwachungsfantasien verwiesen hätte, auch immer die Frage, was als nächstes kommt. Vielleicht, dass die Bahn die Passagierdaten von Reisenden ebenfalls erfassen und an eine staatliche Zentralstelle weiterleiten muss?

Das OLG Hamm hat im Rahmen einer wettbewerbsrechtlichen Entscheidung (Urteil vom 20.09.2012, Az.: I-4 U 85/12) die Auffassung vertreten, es könne

nicht davon ausgegangen werden, dass Minderjährige ab dem 15. Lebensjahr grundsätzlich die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen.

Diese Ansicht ist, zumindest wenn man die juristische Literatur betrachtet, keinesfalls abwegig. Insoweit hatte ich vor einiger Zeit bereits die Frage aufgeworfen, ob eine Nutzung von sozialen Netzen wie Facebook, angesichts der doch recht massiven Erhebung personenbezogener Daten, möglicherweise nach deutschem Recht erst ab einem Alter von 16 möglich sein könnte.

Eine solche Annahme widerspricht natürlich komplett der Lebenswirklichkeit, wenn man sieht wie viele Kinder und Jugendliche auf Facebook unterwegs sind und wie selbst die offizielle Altersgrenze Facebooks von 13 Jahren durchgehend unterlaufen wird.

Es ist mit Sicherheit nur Zufall, dass Sibylle Berg (SPON) und Miriam Meckel (SZ) zeitgleich zwei Meinungsbeiträge mit den ähnlichen Titeln „Die Lüge von der großen Freiheit“ und „Wo im Internet die Freiheit endet“ und ähnlich pessimistischem Grundtenor veröffentlicht haben. Beiden geht es um die Macht großer IT-Unternehmen wie Apple und Google.

Die Dominanz einiger US-Konzerne im Netz ist ein ernsthaftes Problem, aber der mediale Umgang damit ist es nicht minder, wie die Texte von Berg und Meckel belegen.

Wenn Sibylle Berg anführt, dass niemand mehr wisse, wie ein PC funktioniert und, dass dies zur Abhängigkeit von Konzernen wie Apple und damit zur Unfreiheit führe, reibt man sich angesichts dieser Argumentationslinie doch einigermaßen erstaunt die Augen. Letztlich kritisiert Berg die arbeitsteilige Gesellschaft, die dazu geführt hat, dass wir von den Produkten die wir kaufen nicht mehr wissen wie sie funktionieren oder wie sie hergestellt werden. Wer von uns weiß schon genau wie ein Auto oder ein Fernseher funktioniert, oder wie die Nahrungsmittel aus dem Supermarkt hergestellt werden? Sibylle Berg präsentiert uns einen Kulturpessimismus, der sich als Freiheitsproblem tarnt. Mit dem Internet hat das aber wenig zu tun.

Der Text Meckels ist deutlich besser, enthält aber eine Reihe durchaus fragwürdiger Beispiele und Begründungsansätze. Wenn sich Meckel über iTunes beschwert und über ihre Probleme, sich beim US-Store zu registrieren, so zielt diese Kritik auf Apple. Sie verkennt dabei aber, dass es sich hier um originär urheberrechtliche Probleme handelt und nicht um das Marketingkonzept von Apple. Apple hat kein Interesse daran, die Anmeldung von Ausländern besipielsweise zum US-Store zu erschweren, es sind vielmehr das nationale Urheberrecht und die Vorgaben der Rechteinhaber, die Apple dazu zwingen.

Miriam Meckel spricht aber anschließend einen sehr wichtigen Aspekt an, von dem auch die deutsche und europäische Datenschutzdebatte geprägt ist. Es geht um die Frage der selbstbestimmten Entscheidung des Nutzers, die ihm nur dann möglich ist, wenn er über ausreichend Informationen verfügt. Datenschützer sprechen hier gerne von einer informierten Einwilligung. Danach ist eine Einwilligung in die Verarbeitung von Daten nur dann wirksam, wenn der Bürger über Umfang und Folgen der Speicherung seiner Daten ausreichend informiert wird. Und genau hier liegt der Knackpunkt der gesamten Debatte um die Macht von Konzernen wie Facebook, Google oder Apple. Das Anliegen von Google und Co. besteht darin, möglichst viele Daten seiner Nutzer speichern, verarbeiten und weitergeben zu können und gleichzeitig den Nutzer soweit wie möglich darüber im Unklaren zu lassen, was mit den Daten genau geschieht. Der Ausgleich dieses Spannungsverhältnisses gehört zu den wesentlichen Aufgaben und Herauforderungen einer globalen Netzpolitik. Das von Meckel an dieser Stelle bemühte Transparenzargument halte ich allerdings für zweischneidig. Wenn Transparenz hier zu einem Mittel der Unfreiheit wird, dann nur deshalb weil es Google und Facebook möglich ist, selbst gänzlich intransparent zu agieren. Intransparenz dient also als Mittel dazu, andere, nämlich die Nutzer, immer durchsichtiger zu machen. Auch hier ist es also mit der einfachen Aussage, dass zu viel Transparenz schädlich sei, nicht getan. An dieser Stelle brauchen wir nämlich gerade mehr Transparenz, allerdings im Bezug auf die Mechanismen von Unternehmen wie Facebook, Apple oder Google und nicht beim Nutzer.

Nach einem Bericht von tagesschau.de will der Mobilfunkanbieter O2 Standortdaten seiner Mobilfunkkunden für Werbezwecke nutzen und sogar an Werbetreibende verkaufen. Hierzu sollen die Bestandsdaten, also die Stammdaten des Kunden wie Name, Anschrift, Geschlecht und Geburtsdatum, mit Verkehrsdaten kombiniert werden.

Datenschutzrechtlich ergeben sich daraus gleich mehrere Probleme. Nach § 95 Abs. 1 S. 2 TKG ist eine Übermittlung von Bestandsdaten an Dritte grundsätzlich nur mit Einwilligung des Teilnehmers zulässig. Für eigene Zwecke darf der Anbieter die Bestandsdaten zur Werbung für eigene Angebote oder zur Marktforschung dann verwenden, wenn das für diesen Zwecke erforderlich ist und der Kunde eingewilligt hat.

Im Hinblick auf die sog. Standortdaten enthält § 98 TKG eine Sonderregelung. Wenn Standortdaten eines Mobilfunkendgerätes an einen Dritten übermittelt werden, dann muss der Kunde, seine Einwilligung sogar ausdrücklich, gesondert und schriftlich erteilen.

Eine Weitergabe von Standortdaten an einen Dritten zum Zwecke personalisierter Werbung ist nur unter diesen engen Voraussetzungen möglich und damit in rechtlich zulässiger Weise nur schwer machbar. Das weiß natürlich auch O2 / Telefonica, weshalb man sich beeilt hat zu versichern, dass die Daten anonymisiert werden. Anonymisierte Daten können natürlich für statistische Zwecke oder allgemein für Zwecke der Marktforschung von Interesse sein. Wer allerdings personalisierte Werbung betreiben will, kann mit anonymisierten Daten nichts anfangen. Die entscheidende Frage ist letztlich also die, welche Daten O2 in welcher Form weitergibt und ob die Kunden und die Öffentlichkeit insoweit tatsächlich korrekt informiert werden. Die Frage ist dabei aber auch, was sich O2 unter Anonymisierung vorstellt. Wenn der Werbekunde von O2 zwar nicht unmittelbar den Namen des Betroffenen erhält, diese Verbindung aber aufgrund der Standortdaten später selbst (wieder) herstellen kann, liegt nämlich ebenfalls keine ausreichende Anonymisierung vor.

Update vom 31.10.12:
Jens Ferner wirft die Frage auf, ob ein Mobilfunkanbieter wie O2 überhaupt berechtigt ist, (anonymisierte) Verkehrs- oder Standortdaten seiner Kunden an Dritte  zu verkaufen und zieht bereits dies in Zweifel. Man kann diese Ansicht m.E. über den Ansatz der Löschpflichten stützen. Das Datenschutzrecht ist vom Grundsatz der Datensparsamkeit geprägt. Nach dem TKG dürfen Verkehrsdaten grundsätzlich nur dann gespeichert werden, soweit und solange das für die Erbringung des Dienstes oder die Abrechnung erforderlich ist. Sobald diese Erforderlichkeit entfällt, sind die Daten unverzüglich zu löschen. Das was O2 vorhat, ist aber eine Art privater Vorratsdatenspeicherung zu dem Zweck die Daten anschließend (anonymisiert) versilbern zu können. Das ist aber kein legitimer Speicherzweck.

TK-Überwachung: Auskunftspflicht über Bestandsdaten soll neu geregelt werden

Markenrecht: Kann das Zeichen @ als Marke eingetragen werden?

Urheberrecht/Filesharing: Gesetzesinitiativen zur Beschränkung der Störerhaftung

Datenschutz: Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?

Soziale Netze: Wie Facebook mit den Ermittlungsbehörden zusammenarbeitet

Haftung/Urheberrecht: Haften Blogger für Embedded Content?

Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.

In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.

Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.

Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten „alle Informationen, die sich auf eine betroffene Person beziehen„. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.

In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:

Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.

Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.

Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.

Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.

Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.

Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.

Nachdem der EuGH bereits im Jahre 2010 die mangelnde Unabhängigkeit der deutschen Datenschutzaufsicht gerügt hatte, wurde nunmehr in einer weiteren Entscheidung vom heutigen Tag (Az.: C-614/10) in Bezug auf die österreichische Datenschutzkommission vom EuGH festgestellt, dass Österreich seine Verpflichtung aus der Datenschutzrichtlinie verletzt hat.

Der EuGH stellt in seiner Entscheidung klar, dass eine funktionale Unabhängigkeit der Datenschutzbehörde nicht ausreichend ist, sondern vielmehr die Leitung der Behörde keiner Dienstaufsicht unterliegen darf, die Datenschutzkommission nicht dem Kanzleramt angegliedert sein darf und auch keine Informationsrechte des Bundeskanzlers bzw. der Regierung bestehen dürfen.

24 der 27 nationalen Aufsichtsbehörden der EU-Mitgliedsstaaten für den Datenschutz haben nach Medienberichten Google schriftlich aufgefordert, seine vor einem halben Jahr eingeführte neue Datenschutzerklärung abzuändern. Die Datenschützer kritisieren primär die Zusammenführung der Daten aus den unterschiedlichen Diensten. Außerdem möchte offenbar auch die EU-Kommission die neuen Datenschutzregeln von Google beanstanden.

Eine aktuelle Pressemitteilung der französischen Datenschutzbehörde CNIL erläutert die Forderungen der europäischen Datenschützer etwas genauer.

Warum die neue Datenschutzerklärung von Google nicht mit deutschem und europäischem Datenschutzrecht vereinbar ist, habe ich vor einigen Monaten erläutert. Das Beispiel zeigt aber auch deutlich, dass das geltende Datenschutzrecht auf Geschäftsmodelle wie das von Google nicht ausgerichtet ist, weshalb es bei konsequenter Rechtsauslegung und -anwendung ohnehin schwierig werden wird, sämtliche Googledienste in ihrem aktuellen Funktionsumfang datenschutzkonform auszugestalten.