Internet-Law

Nach einem Urteil des Landesarbeitsgerichts Hamm vom 10.07.2012 (Az.: 14 Sa 1711/10) können Chatprotokolle, die der Arbeitgeber bei einer Untersuchung des Arbeitsplatzrechners des Arbeitnehmers auffindet, in einem Kündigungsschutzprozess verwertbar sein, und zwar auch dann, wenn die Erlangung gegen das StGB, TKG und das BetrVG verstößt. Voraussetzung ist laut LAG, dass dem Arbeitnehmer nur eine gelegentliche private Nutzung elektronischer Ressourcen gestattet ist und der Arbeitgeber zugleich darauf hingewiesen hat, dass der Mitarbeiter keine Vertraulichkeit erwarten darf und der Arbeitgeber die Nutzung überwachen und bei gegebener Notwendigkeit die Daten einsehen kann.

Das LAG hat die Revision zum BAG zugelassen.

Die Leitsätze des Landesarbeitsgerichts lauten wie folgt:

Stützt sich der Arbeitgeber zum Nachweis des Vorwurfs, der Arbeitnehmer habe ein gegen ihn gerichtetes Vermögensdelikt begangen, auf den Inhalt von Chatprotokollen, die auf dem Arbeitsplatzrechner des Arbeitnehmers nach Ausspruch der Kündigung vorgefunden wurden, handelt es sich nicht um ein Nachschieben von Kündigungsgründen, zu dem der Betriebsrat vorher angehört werden muss.

Aus einer ggf. gegen § 206 StGB, § 88 TKG. § 32 BDSG und § 87 Absatz 1 Nummer 1 und 6 BetrVG. verstoßenden Erlangung der auf einem Arbeitsplatzrechner vorgefundenen abgespeicherten Chatprotokolle folgt kein Beweisverwertungsverbot, wenn der Arbeitgeber seinen Arbeitnehmern lediglich eine gelegentliche private Nutzung elektronischer Ressourcen gestattet und zugleich darauf hinweist, dass bei einer Abwicklung persönlicher Angelegenheiten auf elektronischen Geräten und über das Netzwerk der Mitarbeiter keine Vertraulichkeit erwarten und der Arbeitgeber die Nutzung überwachen und bei gegebener Notwendigkeit die Daten einsehen kann, die der Mitarbeiter anlegt oder mit anderen austauscht. Ein Arbeitnehmer muss, wenn er illegale Aktivitäten gegen seinen Arbeitgeber entwickelt, bei einer derart eingeschränkten Vertraulichkeit der Privatnutzung damit rechnen, dass Spuren, die er durch die Nutzung von elektronischen Ressourcen des Arbeitgebers hinterlässt, in einem Prozess gegen ihn verwendet werden.

SPON hat unter dem Titel „Facebooks dunkle Seiten“ gerade wieder einmal darauf aufmerksam gemacht, dass Facebook mit den Daten und Informationen ihrer Nutzer in einer Art und Weise umgeht, die jedenfalls mit deutschen und europäischen Rechtsstandards nicht vereinbar ist. Facebook beachtet insbesondere weder das Fernmeldegeheimnis noch die Vorgaben des Datenschutzrechts.

Facebook ist deshalb in besonderem Maße problematisch, wenn es von Kindern und Jugendlichen genutzt wird, denn die sind häufig noch weniger als Erwachsene in der Lage, die Risiken zu überblicken. Nach dem Nutzungsbedingungen von Facebook dürfen Kinder unter 13 Jahren kein Nutzerkonto eröffnen. Die Realität sieht freilich anders aus, zumal Facebook diese selbstgesetzte Altersgrenze nicht konsequent kontrolliert.

Ist diese Altersvorgabe seitens Facebook eigentlich verbindlich, oder ergeben sich aus dem deutschen Recht andere Anforderungen? Problematisch ist an dieser Stelle insbesondere das Datenschutzrecht. Facebook erhebt und verarbeitet nämlich in erheblichem Umfang personenbezogene Daten seiner Nutzer. Eine solche Datenverarbeitung erfordert nach deutschem Recht grundsätzliche eine Einwilligung des Nutzer, die während der Registrierung abgefragt wird. Ob jemand eine solche Einwilligung in die Verarbeitung personenbezogener Daten wirksam erteilen kann, hängt von seiner Einsichtsfähigkeit ab. Diesbezüglich existiert die weitverbreitete Rechtsansicht, dass diese Einsichtsfähigkeit bei Kindern unter 14 Jahren regelmäßig fehlt und sie auch im Alter zwischen 14 und 16 nicht ohne weiteres unterstellt werden kann, zumal vor dem Hintergrund der Unüberschaubarkeit der Datenverarbeitung durch Anbieter wie Facebook (Siehe z.B.: Spindler/Nink in: Recht der elektronischen Medien, BDSG, § 4a, Rn. 2a; Arlt, MMR 2007, 683, 684).

Wenn man diese wohl herschende Auslegung zum deutschen Datenschutzrecht zugrunde legt, muss man eine Nutzung von Facebook durch Jugendliche unter 16 zumindest als problematisch betrachten. Mit der Wirklichkeit steht diese Rechtsansicht freilich nicht in Einklang, denn gerade Jugendliche unter 16 nutzen Facebook massenhaft. Dass Facebook in diesen Fällen die Daten der Minderjährigen in rechtswidriger Art und Weise verarbeitet, dürfte den Anbieter aus Kalifornien außerdem kaum stören.

Der Kollege Meinhard Starostik – der u.a. auch als Prozessvertreter bei den Verfassungsbeschwerden zur Vorratsdatenspeicherung tätig war – hat für eine Mandantin Vodafone vor dem Amtsgericht Düsseldorf auf Feststellung verklagt, dass Funkzellendaten (Standortkennung), die Kennung des genutzten Endgerätes (IMEI) und die Kennung der benutzten SIM-Karte (IMSI) unverzüglich nach Beendigung der Verbindung zu löschen sind, sowie die Rufnummer und die Anschlusskennung eingehender Anrufe unverzüglich, sobald feststeht, dass diese Daten zur Abrechnung nicht erforderlich sind.

Hintergrund ist der Umstand, dass Vodafone zu denjenigen Mobilfunkanbietern gehört, die Verkehrsdaten mit am längsten speichern, obwohl es dafür keine ausreichende rechtliche Grundlage gibt. Nach § 96 TKG sind Verkehrsdaten nach Beendigung der Verbindung unverzüglich zu löschen, es sei denn, eine Speicherung ist für Abrechnungszwecke notwendig. Standortdaten sind aber grundsätzlich nicht abrechnungsrelevant, außer, der Kunde würde spezifisch standortbasierte Dienstleistungen von Vodafone in Anspruch nehmen. Auch wenn man Verbindungsdaten für Abrechnungszwecke benötigt, wird eine Speicherung für mehr als 60 Tage kaum begründbar sein.

Nach einer Erhebung der Bundesnetzagentur speichert Vodafone Standortdaten allerdings 210 Tage (!) lang. Über die großzügige und weitgehend rechtswidrige Speicherpraxis vieler TK-Unternehmen hatte ich vor längerer Zeit bereits ausführlich berichtet.

Sascha Lobo schreibt in seiner Kolumne bei SPON, dass man ein Telemediengeheimnis bräuchte, quasi als Ergänzung zum Brief- und Fernmeldegeheimnis. Der Grund für Sascha Lobos Erregung ist der Umstand, dass Facebook nach Ansicht Lobos die Chatkommunikation seiner Nutzer flächendeckend aufzeichnet und analysiert. Hierzu verweist Lobo u.a. auf einen Artikel in der SZ und beendet seinen Kommentar mit den Worten:

„Wir brauchen ein Telemediengeheimnis. Die Eltern des Grundgesetzes hätten es so gewollt“

Jetzt besteht das verfassungsrechtliche Problem zunächst darin, dass Grundrechte nur im Verhältnis zwischen Staat und Bürger gelten. Nachdem Facebook aber keine Behörde oder staatliche Stelle ist, kann es auch nicht (unmittelbar) an Grundrechte gebunden sein. Selbst ein neues Grundrecht würde also nicht unmittelbar gegenüber Facebook helfen.

Deshalb gibt es in § 88 TKG ergänzend das einfachgesetzliche Fernmeldegeheimnis – das manche etwas moderner auch Telekommunikationsgeheimnis nennen – durch das sog. Diensteanbieter verpflichtet werden. Dem Fernmeldegeheimnis unterliegt sowohl der Inhalt der Kommunikation als auch der Umstand, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war.

Facebook ist – soweit es Kommunikation ermöglicht – auch Diensteanbieter im Sinne des TKG, denn Telekommunikation ist der technische Vorgang des Aussendens, Übermittelns und Empfangs von Nachrichten. Und diese technische Dienstleistung erbringt Facebook für seine Nutzer. Das Chat-System und das Direktnachrichtensystem von sozialen Medien unterliegt daher dem Fernmeldegeheimnis des TKG. Wir brauchen also keineswegs ein Telemediengeheimnis. Es besteht insoweit keine Gesetzeslücke.

Was wir hier vielmehr beobachten können, ist ein altbekanntes Problem speziell im Umgang mit US-Anbietern, das ich als Vollzugsdefizit bezeichnen würde. Anbieter wie Facebook oder Gooogle verstoßen häufiger gegen deutsches und europäisches Recht, u.a. auch beim Datenschutz. Der deutsche Staat, wie auch die EU, sind in vielen Fällen nur nicht mehr dazu in der Lage, ihr Recht gegenüber diesen Anbietern durchzusetzen.

Der Bundestag hat letzten Freitag dem Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) zugestimmt. Das Gesetz sieht u.a. vor, dass Einwohnermeldeämter Daten auch zu Werbezwecken weitergeben dürfen, es sei denn, der Betroffene Bürger hat dem zuvor ausdrücklich widersprochen. Wenn diese Daten lediglich zur Bestätigung oder Überprüfung bereits vorhandener Daten übermittelt werden, verhindert aber selbst ein solcher Widerspruch die Datenweitergabe zu Werbezwecken nicht (§ 44 Abs. 4 MeldFortG).

Was bislang bereits in einigen Landesmeldegesetzten vorgesehen war, wird nunmehr also bundeseinheitlich zugunsten der Werbewirtschaft und zu Lasten der Bürger geregelt. Hintergrund ist der, dass das Meldewesen durch die Föderalismusreform der ausschließlichen Gesetzgebungskompetenz des Bundes zugeschlagen wurde und der Bund von dieser Kompetenz nunmehr auch Gebrauch gemacht hat.

Die Gemeinden erheben für diese Auskünfte übrigens Gebühren und erzielen dadurch Einnahmen. Der Staat betätigt sich hier also tatsächlich als Datenhändler. Deutschland erweist sich damit einmal mehr als das Schilda des Datenschutzes.

Meine Timeline bei Twitter echauffiert sich gerade (wieder einmal) über die Schufa, seit bekannt wurde, dass das Unternehmen ihre Datenbestände jetzt auch um Informationen erweitern will, die aus dem Internet stammen. Der NDR meldet, dass die Schufa zusammen mit dem Hasso-Plattner-Institut plant, Daten von Nutzern aus sozialen Netzwerken und verschiedensten Onlinequellen zu erheben und mit den bestehenden Schufa-Daten zu kombinieren.

Die mediale Empörungsmaschinerie, an deren Spitze man fast erwartungsgemäß u.a. Thilo Weichert und die „Digitale Gesellschaft“ findet, läuft angesichts dieser Meldung gerade auf Hochtouren.

Dass die Schufa aus allgemein zugänglichen Quellen Informationen sammeln möchte, ist allerdings derart naheliegend, dass die Aufregung schon etwas erstaunt. Und auch wenn es den ein oder anderen überraschen mag, die Schufa darf das grundsätzlich auch. Denn die Erhebung und Speicherung personenbezogener Daten zum Zwecke der Übermittlung ist nach § 29 Abs. 1 Nr. 2 BDSG u.a. dann zulässig, wenn die Daten aus allgemein zugänglichen Quellen stammen. Unter den Voraussetzung des § 28b BDSG dürfen diese Daten dann auch für Scoring-Verfahren verwendet werden. Das deutsche Datenschutzrecht sieht also längst vor, dass Auskunfteien wie die Schufa auch im Netz Daten sammeln können, weshalb die künstliche Aufregung von Leuten wie Weichert einmal mehr nur politisch erklärbar ist.

Worin ich das eigentlich größte Problem sehe, ist die Frage, wie die Schufa die Authentizität der Daten gewährleisten will. Denn im Netz kursieren viele falsche Informationen, die Echtheit bzw. eindeutige Personifizierbarkeit von Profilen ist nicht ohne weiteres zu gewährleisten.

Ansonsten dürfte das Vorhaben der Schufa mit geltendem Datenschutzrecht vereinbar sein. Wer hier also einen Skandal wittert, der muss vom Gesetzgeber verlangen, Auskunfteien wie die Schufa entweder abzuschaffen oder gesetzlich deutlich weiter zu beschränken als bisher. Insoweit sollte man aber berücksichtigen, dass es trotz aller Kritik, die man berechtigterweise an der Schufa üben kann, grundsätzlich auch ein nachvollziehbares Bedürfnis dafür gibt, eine Einschätzung der Kreditwürdigkeit und wirtschaftlichen Zuverlässigkeit seines Vertragspartners zu erhalten. Hierauf weist Thomas Knüwer in seinem Blog zu Recht hin.

Die von Kris Köhntopp vertretene Ansicht, dass die Schufa im Falle des Erfolgs des Projekts mit dem HPI künftig ohne Einkommen wäre, vermag ich übrigens nicht zu teilen. Denn die Schufa bekommt ihre Daten derzeit überwiegend von ihren Mitgliedern und diese Daten sind eben gerade nicht öffentlich verfügbar und nicht durch allgemein zugängliche Daten substituierbar. Es handelt sich u.a. um Daten bezüglich abgeschlossener Darlehensverträge und Ratenzahlungsgeschäfte. Wenn die Schufa diese Daten nunmehr mit im Netz verfügbaren Daten kombiniert, erweitert sie nur ihren Datenbestand, aber macht sich nicht selbst überflüssig. Denn die spezifischen Daten, die sie von ihren Mitgliedern erhält, werden auch in Zukunft nicht im Netz zu finden sein.

Update:
Nur zur Klarstellung sei angemerkt, dass wir natürlich noch nicht so ganz genau wissen was die Schufa vor hat – möglicherweise weiß sie das selbst noch nicht genau – weshalb sich über unterschiedliche Sachverhaltsvarianten trefflich spekulieren lässt. Meine Ausführungen bezogen sich auf im Internet allgemein – d.h. grundsätzlich für jedermann – zugängliche Daten. Sollte sich die Schufa, auf welchem Weg auch immer, Daten verschaffen, die nur einem eingeschränkten Personenkreis zugänglich sind, dann wäre das natürlich nicht von der Vorschrift des § 29 BDSG gedeckt. Mittlerweile hat die Schufa laut SPON zumindest aber auch erklärt, dass sich die Pläne nur auf allgemein zugängliche Daten beziehen. Alles andere hätte mich ernstlich verwundert.

Ansonsten sollte niemand darüber erstaunt sein, dass die Schufa die Möglichkeiten auslotet, die ihr das Gesetz bietet. Wenn man jetzt bei SPON liest „Minister wollen Facebook-Schnüffelei stoppen„, dann ist das wiederum nur Ausdruck einer politischen Verlogenheit die man häufig antrifft. Denn es ist gerade die Politik, die diejenigen gesetzlichen Rahmenbedingungen geschaffen hat, die die Schufa jetzt für sich nutzen möchte. Wenn man schon empört ist, dann sollte diese Empörung doch in erster Linie der Politik gelten, die wieder einmal versucht, von sich selbst abzulenken.

Detektor.fm berichtet darüber, dass der FC Bayern München von den Besuchern des morgigen CL-Finales die Angabe von Personen- und Anreisedaten gefordert hat, mit Verweis darauf, dass dies von der UEFA und den örtlichen Polizeibehörden verlangt würde. Das entsprechende Schreiben des Clubs ist bei detektor.fm online. Wie und wofür diese Daten verwendet werden und wie lange sie gespeichert bleiben, besagt das Schreibens des FC Bayern nicht.

Die Münchener Polizeibehörden haben offenbar sogleich dementiert. Das ist wenig überraschend, denn aus polizeirechtlicher Sicht gibt es keine Rechtsgrundlage dafür, die Anreisedaten aller Besucher vorab zu ermitteln.

Ob es seitens der UEFA eine entsprechende Vorgabe gibt, ist offenbar unklar. Sie wäre jedenfalls nicht mit deutschem und europäischem Datenschutzrecht vereinbar, zumal nicht darüber aufgeklärt wurde, was der genaue Zweck der Datenerhebung ist. Vielmehr wird der Eindruck erweckt, der Stadionbesucher müsse diese Daten preisgeben, weil dies eine behördliche Vorgabe sei. Allein damit entfällt aber die Freiwilligkeit der Einwilligung in die Datenverarbeitung.

Das Bayerische Landesamt für Datenschutzaufsicht sollte sich mit diesem Vorgang befassen und diesen datenschutzrechtlichen Verstoß entsprechend ahnden.

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70’er und 80’er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.

Was den Schutz personenbezogener Daten angeht, haben sich EU-Kommission und EU-Parlament in letzter Zeit nicht mit Ruhm bekleckert. Im Rahmen von bilateralen Verträgen wie dem SWIFT-Abkommen und dem Fluggastdatenabkommen liefert man den USA die Bankdaten europäischer Bürger und die Daten von Fluggästen, die in die USA reisen, praktisch auf dem Silbertablett. Weil man das, was die USA können – nämlich personenbezogene Daten von Passagieren fünf Jahre lang zu speichern – selbst natürlich auch können muss, wollen die europäischen Innenminister jetzt auch bei innereuropäischen Flügen personenbezogene Daten von Passagieren für die Dauer von 5 Jahren (!) speichern. Die Bundesregierung hat sich in dieser Frage wieder einmal vornehm enthalten, denn man weiß in Berlin natürlich, dass das BVerfG bei der Vorratsdatenspeicherung – und nichts anderes ist die anlasslose Speicherung von Fluggastdaten – bereits eine Speicherdauer von 6 Monaten als gerade noch zulässig angesehen hat.

Der Eindruck, dass Europa mehrheitlich von Technokraten und Antidemokraten regiert und gelenkt wird, verdichtet sich zur Wahrheit.

Dass man auf Ebene der EU gerade parallel über ein besseres und effektiveres Datenschutzrecht diskutiert, kann vor diesem Hintergrund allenfalls noch als Groteske durchgehen. Wer von Unternehmen und Bürgern die Achtung der Privatsphäre und den effektiven Schutz personenbezogener Daten verlangt, der muss selbst mit gutem Beispiel vorangehen. Ein Staat bzw. eine Staatengemeinschaft die demgegenüber für sich reklamiert, personenbezogene Daten praktisch nach Belieben und ohne jeden Anlass auf Vorrat speichern und an Drittstaaten übermitteln zu dürfen, lässt die notwendige Vorbildfunktion vermissen und darf auf keine Akzeptanz im Bereich des Datenschutzes hoffen.

Den dazu passenden Treppenwitz liefert einmal mehr EU-Kommissarin Cecilia Malmström. Auf die Frage, ob man die Richtlinie über die Vorratsdatenspeicherung nicht dahingehend ändern könnte, dass den Mitgliedsstaaten eine Umsetzung freigestellt wird, hat Frau Malmström folgendes geantwortet:

Optionale Maßnahmen mit offenkundigen Konsequenzen für das Recht auf Datenschutz und Privatsphäre würden im Gegenteil dem Bürger gemeinsame Mindeststandards für diese Grundrechte in der EU vorenthalten.

Die zwingende Umsetzung einer Vorratsdatenspeicherung ist mit anderen Worten deshalb notwendig, um das Recht der EU-Bürger auf Datenschutz und Privatsphäre zu gewährleisten. Das erinnert mich an den alten Witz, dass man nur die Daten schützen kann, die man zuvor erhoben hat.

In der Zeit, als man noch ernsthaft versucht hat, Datenschutz zu betreiben, galt das Prinzip der Datenvermeidung als die oberste Maxime des Datenschutzrechts. Dieses Grundprinzip des Datenschutzrechts möchte die EU-Kommission offenbar in sein Gegenteil verkehren und die massenhafte und anlasslose Datenspeicherung zum neuen Leitbild erheben. Dann liebe EU-Kommission, sollte man konsequenterweise aber auch das Schattenboxen, das parallel um eine EU-Verordnung zum Datenschutz stattfindet, beenden und das Post-Privacy-Zeitalter ganz offiziell einläuten. Die EU-Kommission pfeift ganz ersichtlich auf den Datenschutz und das Recht auf informationelle Selbstbestimmung und sollte diese Haltung dann wenigstens auch konsequent und offen an den Tag legen.

Das EU-Parlament, das der Entwicklung bisher fast nichts entgegengesetzt hat, wird sich in Zukunft verstärkt die Frage stellen müssen, ob man sich weiterhin von bürgerrechtsfeindlichen Technokraten dominieren lassen will, oder gelegentlich vielleicht doch im Interesse der europäischen Bürger stimmen sollte, von denen man gewählt wurde.

Zum selben Thema siehe auch die Beiträge von Patrick Breyer beim AK Vorrat und Andre Meister bei netzpolitik.org.

Das OVG Münster hat entschieden (Beschluss vom 23.04.2012, Az.: 13 B 127/12), dass ein öffentlich-rechtlicher Unterlassungsanspruch gegen behördliche Warnungen bestehen kann.  Das gilt zumindest dann, wenn Äußerungen einer Behörde gegenüber Medien wie ein Verbot wirken sollen und die Behörde eine solche Wirkung auch angestrebt hat. Hierbei ist primär auf die tatsächlich entstandene Wirkung der Mitteilung abzuheben. Konkret ging es um eine Warnung des Gesundheitsministeriums in NRW vor dem Verkauf sog. E-Zigaretten.

Das Gericht führt zum öffentlich-rechtlichen Unterlassungsanspruch allgemein folgendes aus:

Der öffentlich-rechtliche Anspruch auf zukünftige Unterlassung einer getätigten Äußerung setzt voraus, dass ein rechtswidriger hoheitlicher Eingriff in grundrechtlich geschützte Rechtspositionen oder sonstige subjektive Rechte des Betroffenen erfolgt ist und die konkrete Gefahr der Wiederholung droht. Amtliche Äußerungen haben sich an den allgemeinen Grundsätzen für rechtsstaatliches Verhalten in der Ausprägung des Willkürverbots und des Verhältnismäßigkeitsgrundsatzes zu orientieren. Aus dem Willkürverbot ist abzuleiten, dass Werturteile nicht auf sachfremden Erwägungen beruhen dürfen, d. h. bei verständiger Beurteilung auf einem im Wesentlichen zutreffenden oder zumindest sachgerecht und vertretbar gewürdigten Tatsachenkern beruhen müssen, und zudem den sachlich gebotenen Rahmen nicht überschreiten dürfen (Sachlichkeitsgebot). Rechtliche Wertungen sind auf ihre Vertretbarkeit zu überprüfen. Wenn die Richtigkeit der Information noch nicht abschließend geklärt ist, hängt die Rechtmäßigkeit der staatlichen Informationstätigkeit davon ab, ob der Sachverhalt vor seiner Verbreitung im Rahmen des Möglichen sorgsam und unter Nutzung verfügbarer Informationsquellen sowie in dem Bemühen um die nach den Umständen erreichbare Verlässlichkeit aufgeklärt worden ist. Verbleiben dennoch Unsicherheiten, ist der Staat an der Verbreitung der Informationen gleichwohl jedenfalls dann nicht gehindert, wenn es im öffentlichen Interesse liegt, dass die Marktteilnehmer über einen für ihr Verhalten wichtigen Umstand, etwa ein Verbraucherrisiko, aufgeklärt werden. Es ist dann angezeigt, die Marktteilnehmer auf verbleibende Unsicherheiten über die Richtigkeit der Information hinzuweisen, um sie in die Lage zu versetzen, selbst zu entscheiden, wie sie mit der Ungewissheit umgehen wollen.

Härting zieht eine Parallele zu dem Vorgehen des ULD gegen den Facebook-Like-Button und Fanpages bei Facebook. Die Aufforderung gegenüber allen Webseitenbetreibern in Schleswig-Holstein ihre Facebook-Like-Buttons zu entfernen, verbunden mit der Androhung von Untersagungsverfügungen und Bußgeldern, stellt eine amtliche Äußerung mit Eingriffscharakter dar, so dass hiergegen grundsätzlich der Weg zu den Verwaltungsgerichten offen stehen dürfte.