Internet-Law

Stephan Mappus will Presseberichten zufolge die Löschung von Daten, die von seinem früheren Dienstcomputer stammen, vor dem Verwaltungsgericht Stuttgart erstreiten.

Die Staatsanwaltschaft Stuttgart hatte bei einem externen Dienstleister Backups beschlagnahmt, die u.a. die Daten vom Dienstcomputer des früheren Ministerpräsidenten enthalten haben. Die Staatsanwaltschaft ermittelt gegen Mappus wegen des Verdachts der Untreue.

Mir fehlt gerade die juristische Phantasie dafür, wie man die Löschung von Daten, die nach der Strafprozessordnung sichergestellt worden sind, vor einem Verwaltungsgericht erreichen kann. Denn letztlich richtet sich der Rechtsbehelf in der Sache gegen eine Maßnahme der Staatsanwaltschaft und zielt darauf ab, eine Verwertung im Rahmen eines Strafverfahrens zu unterbinden. Dafür müsste aber ein Beweisverwertungsverbot nach der StPO vorliegen. Das alles wird das Verwaltungsgericht aber vermutlich gar nicht prüfen, denn Mappus dürfte bereits den falschen Rechtsweg beschritten haben.

Mappus hat sich wohl erneut vergaloppiert. Der Kollege Udo Vetter sieht das offenbar ähnlich.

In einem Interview mit der taz erläutert CCC-Mitglied Rüdiger Weis die Überwachungstechnik Deep Packet Inspection (DPI) und spricht von einer Internetversion des Nacktscanners. Weis erklärt außerdem, dass es Hinweise geben würde, wonach auch deutsche Mobilfunkanbieter und Provider DPI einsetzen. Diese Aussagen decken sich mit den Erkenntnissen der EU-Behörde BEREC, die Anfang des Jahres einen Bericht über Providerpraktiken zum “Traffic Management” vorgelegt hat.

Wenn man eine Parallele zur analogen Welt ziehen will, dann ließe sich der Einsatz von DPI wohl am ehesten damit vergleichen, dass die Post sämtliche von ihr transportierten Postsendungen vor der Auslieferung systematisch liest und die Inhalte analysiert.

Deep Packet Inspection stellt nach meiner Einschätzung einen Verstoß gegen das Fernmeldegeheimnis des § 88 TKG dar. § 88 Abs. 3 TKG normiert ein Kenntnisnahmeverbot des TK-Anbieters sowohl hinsichtlich des Inhalts als auch der näheren Umstände der Telekommunikation. Das Verbot ist somit enger als das der Strafnorm des § 206 StGB, weil dort die bloße Kenntnisnahme noch nicht sanktioniert wird. Das Gesetz spricht zwar in § 88 Abs. 3 TKG davon, dass es dem Provider nur verboten ist, sich über das für die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis zu verschaffen. Daraus lässt sich aber keine Gestattung einer Deep Packet Inpection ableiten. Denn jeder TK-Dienst kann ohne weiteres und ohne Einschränkung auch ohne den Einsatz von DPI erbracht werden. Für die Erbringung der TK-Dienstleistung ist es auch unter dem Aspekt der Systemsicherheit nicht erforderlich, Technologien wie DPI einzusetzen.

Es wäre also durchaus interessant konkret festzustellen, welche Provider solche Technologien einsetzen und in welchem Umfang. Denn als Kunde könnte man dann eine Verletzung des Fernmeldegeheimnisses gegenüber seinem Anbieter geltend machen.

Der letzte Woche zu Ende gegangene 69. Deutsche Juristentag hat eine ganze Reihe fragwürdiger und diskussionsbedürftiger Beschlüsse gefasst, die auf eine stärkere Regulierung und Überwachung des Internets abzielen. Diese Beschlüsse werden von den Fachabteilungen des DJT gefasst, die mir angesichts dessen, was inhaltlich abgestimmt wurde, doch deutlich von einer konservativen und nicht gerade liberalen Grundhaltung dominiert zu sein scheinen.

Die für das Internet relevanten Beschlüsse des DJT finden sich in dem Beschlusspapier u.a. auf S. 9 – 11 (Strafrecht) und S. 23 ff. (IT- und Kommunikationsrecht).

Der DJT spricht sich für eine Vorratsdatenspeicherung, Onlinedurchsuchung (in engen Grenzen) und Quellen-TKÜ aus. Ein Recht auf anonyme Internetnutzung lehnt der DJT ab. Gefordert wird ferner, dass bei der Verarbeitung personenbezogener Daten von Minderjährigen eine Einwilligung des einsichtsfähigen Minderjährigen und seines gesetzlichen Vertreters notwendig sein soll. Das würde natürlich u.a. eine Nutzung sozialer Netze durch Minderjährige erheblich erschweren und ist relativ weit von der Lebenswirklichkeit entfernt.

Eine Auswahl derjenigen Beschlüsse, die mir für das Internet wesentlich erscheinen, habe ich nachfolgend zusammengestellt. Ob der Beschlussvorschlag angenommen oder abgelehnt wurde, ergibt sich aus dem Klammerzusatz am Ende.

Überwachungstechnologien:
Der Gebrauch der existierenden Technologie für eine flächendeckende Überwachung, Filterung und Kontrolle jeglicher elektronischer Kommunikation ist allenfalls mit äußerster Zurückhaltung anzuwenden. Sind Überwachungs- und Filterbefugnisse erst einmal gewährt, so entziehen sie sich einer effektiven Kontrolle durch Justiz und Parlament. (abgelehnt)

Quellen-Telekommunikationsüberwachung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Quellen-Telekommunikationsüberwachung sollte als Ausgleich für die technisch meist unmögliche Telekommunikationsüberwachung entsprechend den Voraussetzungen der §§ 100a, 100b StPO möglich sein. (angenommen)

bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)

cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)

Online-Durchsuchung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Online-Durchsuchung ist angesichts der Möglichkeit einer Verschlüsselung der gespeicherten Daten ein wichtiges Ermittlungsinstrument und sollte daher, wenn auch unter hohen, verfassungsrechtlich vorgegebenen Eingriffsschwellen (vgl. BVerfGE 120, 274) erlaubt werden. (angenommen)

bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)

cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)

Vorratsdatenspeicherung:
Telekommunikationsanbieter sollten generell und soweit verfassungsrechtlich zulässig nach Maßgabe der RL 2006/24/EG (EU-Vorratsdatenspeicherungsrichtlinie) verpflichtet werden, bestimmte Verkehrsdaten zu sammeln und für mindestens sechs Monate zu speichern. (angenommen)

Anonymität:
a) Im Interesse einer effektiven Durchsetzung des Rechts auf freie Meinungsäußerung im Internet besteht ein schützenswertes Recht der Internetnutzer auf Anonymität. Ansprüche Dritter wegen Rechtsverletzungen durch Internetnutzer sollen weitestmöglich hinter dem Recht auf Anonymität zurückstehen, Identifizierungspflichten von Internetdiensten sind entsprechend zu beschränken (abgelehnt)

b) Ein „Recht auf anonyme Internet-Nutzung“ ist nicht anzuerkennen. Bei aktiver Nutzung des Internets mit eigenen Beiträgen darf der Nutzer nicht anonym bleiben, sondern muss im Rahmen einer Verwendung von Pseudonymen zumindest identifizierbar sein. Nur dann lassen sich Rechtsverstöße wirksam verfolgen. Internet-Dienste sollen den Klarnamen und die Internetverbindung ihrer Nutzer registrieren. (angenommen)

Datenschutz, Persönlichkeitsrecht, Störerhaftung:
Für die wirksame (datenschutzrechtliche, Anm. des Verf.) Einwilligung Minderjähriger ist sowohl die Zustimmung der gesetzlichen Vertreter als auch die Einwilligung des einsichtsfähigen Minderjährigen erforderlich. (angenommen)

Bei behaupteten Persönlichkeitsrechtsverletzungen ist dem Betroffenen – in Anlehnung an §§ 101 UrhG, 19 MarkenG, 140b PatG – ein Auskunftsanspruch zur Benennung des Rechtsverletzers zu gewähren; Ausnahmen sind nur in verfassungsrechtlich gebotenen Fällen zuzulassen. (angenommen)

Der Störerhaftung soll ein Dienstebetreiber nur dann unterliegen, wenn er zumutbare Verhaltens-, namentlich Prüfpflichten verletzt, die nach Art des Internetdienstes unterschiedlich weitreichend sein können. Die vom BGH in der „Blogger“-Entscheidung (Urt. v. 25.10.2011 – VI ZR 93/10) aufgegriffenen Grundsätze – keine Verantwortlichkeit des Providers, wenn er nach Meldung der Rechtsverletzung durch den Rechtsinhaber die Veröffentlichung löscht – sind fortzuentwickeln. Für Äußerungen auf Kommunikationsplattformen sollte ein „Notice-and-take-down“-Verfahren eingeführt werden, in dem auf Meldung eines potentiell Verletzten zunächst der Äußernde zur Stellungnahme aufgefordert wird. Nimmt er nicht in gesetzter Frist Stellung, wird seine Äußerung entfernt; andernfalls findet die rechtliche Auseinandersetzung zwischen Äußerndem und Verletztem statt. (angenommen) (…) Bei anonymen Meinungsäußerungen erfolgt eine umgehende Entfernung der Äußerung (angenommen)

Das geltende Regelungskonzept des Datenschutzes, ein Verbot der Verwendung personenbezogener Angaben mit Erlaubnisvorbehalt, ist grundsätzlich beizubehalten, aber mit deutlich erweiterten Erlaubnistatbeständen für die Internetkommunikation. Datenschutzrechtliche Anforderungen sollten bei überwiegenden Kommunikationsinteressen zurücktreten. (angenommen)

Sowohl die europäische „Datenschutz-Grundverordnung“ als auch die entsprechende nationale Regelung sollten die Verantwortlichkeit von Suchmaschinenbetreibern und deren Umgang mit personenbezogenen Daten regeln. (angenommen)

Laut einer Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) haben sich die deutschen Datenschutzaufsichtsbehörden im „Düsseldorfer Kreis“ darauf verständigt, dass die Behörden in den Ländern Bremen, Hamburg, Rheinland-Pfalz und Schleswig-Holstein stärker gegen Datenschutzverstöße von Facebook vorgehen. Beanstandet wird u.a. die Gesichtserkennung, die Facebook inzwischen standardmäßig durchführt.

Das ULD kündigt „direkte rechtliche Maßnahmen gegenüber der US-Zentrale“ von Facebook an.

Aktuell melden verschiedene Medien, dass Facebook die Gesichtserkennung in Europa stoppen wolle. Ob sich die deutschen Datenschützer damit schon zufrieden geben, wird sich zeigen.

Die öffentliche Entrüstung war groß, als der Bundestag, oder besser, das was von ihm während des EM-Halbfinales übrig war, eine  Neufassung des Meldegesetzes beschlossen hat, die die Möglichkeit der Datenweitergabe zu Zwecken der Werbung und des Adresshandels vorsah, wenn der Bürger nicht ausdrücklich widersprochen hat.

Mittlerweile liegt eine Ausschussempfehlung des Bundesrates zur Anrufung des Vermittlungsausschusses vor, der eine Änderung des maßgeblichen § 44 MeldeG in folgenden zentralen Punkten vorsieht:

Absatz 3 Nummer 2 ist wie folgt zu fassen:

„2. die Auskunft verlangende Person oder Stelle erklärt, die Daten nicht zu verwenden für Zwecke

a) der Werbung oder

b) des Adresshandels,

es sei denn, sie versichert, dass die betroffene Person ihr gegenüber in die Übermittlung für jeweils diesen Zweck eingewilligt hat. Auf Verlangen sind der Meldebehörde entsprechende Nachweise vorzulegen.“

cc) Absatz 4 ist wie folgt zu fassen:

„(4) Es ist verboten, Daten aus einer Melderegisterauskunft

1. für gewerbliche Zwecke zu verwenden, ohne dass ein solcher Zweck nach Absatz 1 Satz 2 bei der Anfrage angegeben wurde,

2. für Zwecke der Werbung oder des Adresshandels zu verwenden, es sei denn die betroffene Person hat im Zeitpunkt der Anfrage in die Übermittlung für jeweils diesen Zweck nach Absatz 3 Nummer 2 eingewilligt.“

Das bedeutet, das anfragende Unternehmen muss (nur) versichern, dass der Betroffene ihm gegenüber in die Datenübermittlung für Werbezecke eingewilligt hat. Wie soll man sich das bitte praktisch vorstellen? Ein Unternehmen der Werbebranche hat also angeblich eine wirksame Einwilligung des Betroffenen dahingehend eingeholt, dass Meldeämter seine Meldedaten an das Unternehmen weitergeben dürfen. Derartige Einwilligungen erteilt kein Mensch in datenschutzrechtlich wirksamer Art und Weise. Wenn eine solche Einwilligung demgegenüber irgendwo in AGB oder einem sonstigen Klauselwerk versteckt sind, genügen sie nicht den Anforderungen des § 4 a Abs. 1 BDSG und ist unwirksam.

Was der Vermittlungsausschuss da beschließen soll, ist nichts anderes als eine gesetzgeberische Einladung zum Missbrauch, der klar die Handschrift der Lobbyisten trägt. Andernfalls hätte man die Regelung nunmehr auch einfach so treffen können, dass den Meldebehörden eine Datenübermittlung zu Zwecken der Werbung und des Adresshandels generell untersagt ist. Dann kann es zwar immer noch zu Missbrauch kommen, aber der ist dann zumindest einfach nachzuvollziehen. Genau das ist aber offenbar nicht erwünscht.

Der Bundesdatenschutzbeauftragte Peter Schaar bekommt keine Einsicht in den Quellcodes des Staatstrojaners. Der Hersteller der in Verruf gekommenen Software zur Quellen-TKÜ, die tatsächlich auch Onlinedurchsuchungen durchführen kann, DigiTask verlangt vom Bundesdatenschutzbeauftragten die Unterzeichnung einer Vertraulichkeitsverpflichtung sowie die Zahlung von EUR 1200,- pro Tag und Mitarbeiter für den Ausgleich der entstehenden Kosten. Peter Schaar hat diese Vorbedingungen im Hinblick auf seine gesetzlichen Pflichten abgelehnt, wie aus einem Schreiben Schaars an den Innenausschuss des Bundestages hervorgeht.

Dass Behörden des Bundes und der Länder im Bereich eingriffsintensiver Software mit zweifelhaften Klitschen wie DigiTask zusammenarbeiten und sich noch nicht einmal vertraglich den Zugriff auf den Quellcode und die Entwicklerdokumentation einräumen lassen, ist nicht nur lächerlich, sondern im Hinblick auf die Schutzpflichten des Staates für die Grundrechte der Bürger in höchstem Maß bedenklich. Das wird leider immer deutlicher.

Die Themen der letzten Woche bei mir im Blog:

Wen betrifft das Leistungsschutzrecht für Presseerzeugnisse eigentlich?

Sind die neuen Rundfunkbeiträge verfassungswidrig?

Alternativentwurf einer EU-Datenschutzverordnung

Hätten sich die Mitglieder von Pussy Riot auch in Deutschland strafbar gemacht?

Facebook legt Berufung gegen das Freundefinder-Urteil des LG Berlin ein

Extern:

Die Ortungswanze in der Tasche (Constanze Kurz in der FAZ über die Funkzellenüberwachung)

Hirnforscher Manfred Spitzer und Blogger Johnny Häusler haben sich diese Woche bei ZDF-Login über die „Digitale Demenz“ gestritten. Martin Lindner hat das Buch Spitzers als das entlarvt, was es ist, nämlich in weiten Teilen unwissenschaftlich (CARTA).

Interview mit Rechtsanwalt Sascha Kremer über die rechtlichen Anforderungen an die Entwicklung und den Vertrieb von Apps (Telemedicus)

Und der Satz der Woche, über den speziell Verlage nachdenken sollten:

Das Leistungsschutzrecht ist eine teure Baugenehmigung für ein Mondgrundstück.

Die Kollegen Härting und Schneider, die schon seit längerer Zeit eine weitreichende Reform des Datenschutzrechts fordern, haben nunmehr eine ausformulierte Alternative zum Entwurf einer Datenschutzgrundverordnung, den die EU-Kommission vor einigen Monaten vorgelegt hatte, vorgestellt.

Der Vorschlag von Härting und Schneider läuft auf einen Paradigmenwechsel hinaus, der mir zumindest im Grundsatz aber auch notwendig erscheint.

Wesentlich am Vorschlag von Härting/Schneider ist die Differenzierung zwischen personenbezogenen und sensiblen Informationen. Damit würde im Datenschutzrecht erstmals eine Abstufung nach dem Inhalt und der Bedeutung der Information für den Betroffenen vorgenommen. Das geltende Datenschutzrecht schützt alle personenbezogenen Daten gleichermaßen und zwar völlig unabhängig davon, wie schwer beispielsweise eine Weitergabe der konkreten Infomation für den Betroffenen tatsächlich wiegt. Als sensible Informationen sehen Härting/Schneider allerdings nur solche an, die der Intimsphäre des Betroffenen entstammen. Das ist meines Erachtens nicht sachgerecht, weil es eine ganze Reihe sensibler Daten gibt, die nicht aus der Intimsphäre stammen, an denen aber dennoch ein berechtigtes Geheimhaltungsinteresse des Betroffenen bestehen kann. Die Differenzierung von Härting/Schneider ist zwar grundsätzlich sinnvoll, die Gleichsetzung sensibler und intimer Daten erscheint allerdings zu eng.

Zweiter zentraler Aspekt des Entwurfs von Härting/Schneider ist eine Abkehr vom Verbotsprinzip. Das geltende Datenschutzrecht geht davon aus, dass eine Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, der Betroffene willigt ein oder eine gesetzliche Vorschrift erlaubt die Datenverarbeitung ausdrücklich (Verbot mit Erlaubnisvorbehalt). Schneider und Härting wollen demgegenüber als Grundsatz festschreiben, dass die Datenverarbeitung zunächst erlaubt sein soll. In ihrem § 5 Abs. 2 S. 1 heißt es deshalb:

Die Erhebung personenbezogener Informationen ist erlaubt.

Diese grundsätzliche gesetzliche Erlaubnis wird nach dem Konzept von Härting/Schneider dann dadurch eingeschränkt, dass der Datenverarbeiter verpflichtet ist, Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen. Anstelle eines Verbots mit Erlaubnisvorbehalt tritt ein Abwägungsgebot.

Lediglich dann, wenn es sich um Angaben handelt, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist dann berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, sofern seine schutzwürdigen Interessen der Datenverarbeitung entgegenstehen.

Diese Widerspruchslösung für Daten, die aus der Privat- oder Intimsphäre des Betroffenen stammen, ist allerdings schwerlich mit der Rechtsprechung des Bundesverfassungsgerichts zum Schutz des Persönlichkeitsrechts vereinbar. Denn Informationen, die der Intimsphäre des Betroffenen entstammen genießen danach absoluten, solche der Privatsphäre zumindest noch überwiegenden Schutz. Das bedeutet, Informationen aus der Intimsphäre des Betroffenen dürfen überhaupt nicht weitergegeben oder veröffentlicht werden, solche aus der Privatsphäre nur dann, wenn ein besonders bedeutsames Interesse der Allgemeinheit gegeben ist. Vor diesem Hintergrund genügt die bloße Möglichkeit zu widersprechen, den verfassungsrechtlichen Anforderungen nicht.

Diese Problematik wird in dem Entwurf von Härting/Schneider aber letztlich dadurch wieder abgemildert, dass § 8 Abs.1 des Entwurfs für die Verabreitung sensibler Informationen eine vorheriger Zustimmung (Einwilligung) des Betroffenen oder eine gesetzliche Gestattung verlangt. Für diese sensiblen Daten, die allerdings wie gesagt auf Informationen aus der Intimsphäre beschränkt sind, kehren Härting/Schneider dann eben doch zum Prinzip des Verbots mit Erlaubnisvorbehalt zurück.

Die Erstellung von Bewegungsprofilen und Nutzerprofilen wollen Härting/Schneider übrigens nur dann von einer Einwilligung des Betroffenen abhängig machen, wenn die Auswertung Aussagen über die Intimsphäre enthalten kann.

Der Alternativentwurf von Härting/Schneider stimmt zwar von seiner Stoßrichtung her, bietet im Detail aber Anlass zur Kritik. Nachdem der Entwurf allerdings, wie eingangs gesagt, einen datenschutzrechtlichen Paradigmenwechsel bewirken würde, ist nicht damit zu rechnen, dass sich für diesen Ansatz in der (aktuellen) politischen Diskussion eine europaweite Mehrheit finden wird.

Wie die Verbraucherzentrale Bundesverband meldet, hat Facebook Berufung gegen ein Urteil des Landgerichts Berlin vom 06.03.2012 (Az.: 16 O 551/10) eingelegt, durch das der Facebook FreundeFinder als wettbewerbswidrig und verschiedene Bestimmungen der Nutzungs- und Datenschutzbedingungen als unwirksam qualifiziert wurden.

Zum Urteil des LG Berlin hatte ich bereits vor einer Weile gebloggt.

Im Zusammenhang mit dem Urteil des Landgerichts Berlin bin ich außerdem mehrfach gefragt worden, ob mein Blogbeitrag  „Gilt deutsches Datenschutzrecht für Facebook überhaupt?“ durch das Urteil hinfällig geworden sei. In meinem Beitrag hatte ich geschrieben, dass § 1 Abs. 5 BDSG nicht vertraglich abbedungen werden kann, während das Landgericht Berlin in seinem Urteil vom 06.03.2012 ausführt:

Deutsches Datenschutzrecht gilt aufgrund zulässiger Rechtswahl. § 1 Abs. 5 BDSG steht dem nicht entgegen.

Das Landgericht Berlin geht also davon aus, dass die Vorschrift des § 1 Abs. 5 BDSG vertraglich abbedungen werden kann und das Datenschutzrecht der Rechtswahl der Parteien unterliegt. Diese Rechtsmeinung des Landgerichts ist nach meiner Einschätzung juristisch nicht vertretbar.

Das LG Berlin stützt seine Ansicht auf Art 3 Abs. 1 der Rom-I-Verordnung, übersieht dabei aber Art. 9 der Rom-I-Verordnung. Datenschutzrechtliche Vorschriften gelten als Eingriffsnormen im Sinne von Art. 9, die gerade nicht der freien Rechtswahl unterliegen. Das LG Berlin verliert außerdem kein Wort über Art. 4 der Datenschutzrichtlinie, deren Umsetzung § 1 Abs. 5 BDSG dient. Danach hat jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten anzuwenden. § 1 Abs. 5 BDSG kann deshalb nicht dispositiv sein.

Vor diesem Hintergrund war es bislang auch einhellige Meinung in der juristischen Literatur, dass das Datenschutzrecht gerade nicht der Rechtswahl der Parteien unterliegt.

Bei Facebook ist davon auszugehen, dass es derzeit keine Niederlassung (im datenschutzrechtlichen Sinne) in Deutschland gibt und gleichzeitig aber Daten im Inland erhoben werden, während die maßgebliche Datenverarbeitung durch die verantwortliche Stelle aber dann außerhalb der EU – nämlich in den USA – stattfindet. Deutsches Datenschutzrecht gilt damit nicht aufgrund einer Rechtswahl, sondern nach § 1 Abs. 5 S. 2 BDSG.

Das Urteil des Landgerichts Berlin dürfte zwar im Ergebnis weitgehend zutreffend sein, ist aber teilweise unrichtig begründet worden.

Der bayerische Datenschutzbeauftragte hat seinen Prüfbericht zur Quellen-TKÜ und damit auch zum Einsatz des sog. Bayerntrojaners vorgelegt.

In rechtlicher Hinsicht teilt der Datenschutzbeauftragte die Rechtsansicht der Konferenz der Datenschutzbeauftragten, wonach die Strafprozessordnung weder für die Quellen-TKÜ noch für die Onlinedurchsuchung eine ausreichende Rechtsgrundlage vorsieht.

Was den Bereich der Quellen-TKÜ angeht, bringt der Datenschutzbeauftragte allerdings zum Ausdruck, dass er die anderslautende Rechtsauffassung der bayerischen Strafgerichte zu respektieren hat. Im Hinblick auf darüberhinausgehende Maßnahmen, macht der Datenschützer allerdings deutlich, dass er diese für klar rechtswidrig hält. Soweit die Software über die Funktion verfügt, über eine Softwareliste alle Namen der auf dem überwachten Rechner installierten Programme auszulesen, ist das nach Einschätzung des Datenschutzbeauftragten ebenso unzulässig wie die Anfertigung und Übermittlung von Browserscreenshots.

Ob die Politik aus dieser rechtlichen Einschätzung des Bayerischen Datenschutzbeauftragten Konsequenzen ziehen wird, bleibt abzuwarten. Vermutlich wird man aber in altbekannter Manier darauf setzen, sämtliche rechtlichen Bedenken zu ignorieren.

Warum die heimliche Installation von Überwachungssoftware nach geltendem Recht nicht zulässig ist, habe ich in einem älteren Beitrag erläutert.