Internet-Law

Der EuGH hat heute (Urteil vom 19.04.2012, Az.: C?461/10) entschieden, dass Auskunftsansprüche gegen Internet-Service-Provider, die in Mitgliedstaaten auf Grundlage der sog. Enforcement-Richtlinie geschaffen wurden – in Deutschland betrifft dies § 101 Abs. 2, Abs. 9 UrhG – sowohl mit der Richtlinie über die Vorratsdatenspeicherung als auch mit der Datenschutzrichtlinie vereinbar sind. Mithilfe dieser Auskunftsansprüche werden in Fällen des Filesharing die von den Rechteinhabern ermittelten IP-Adressen dann von den Providern einem Kunden bzw. Anschlussinhaber zugeordnet.

In der Formulierung des EuGH

Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.

erkenne ich freilich die deutsche Rechtswirklichkeit bei richterlichen Auskunftsbeschlüssen nach § 101 Abs. 9 UrhG kaum wieder. Denn eine Prüfung des Einzelfalls, die den Grundsatz der Verhältnismäßigkeit gebührend berücksichtigen würde, findet bei deutschen Gerichten schlicht nicht statt. Es ist vielmehr so, dass die nach § 101 Abs. 9 UrhG angerufenen Gerichte massenhaft, tetxbausteinartig und ohne jegliche Einzelfallprüfung diejnigen Auskunftsbeschlüsse erlassen, die den Provider erst ermächtigen, die Daten seines Kunden herauszugeben. Mir liegen diesbezüglich eine ganze Reihe von Akteneinsichten, insbesondere des Landgerichts Köln, vor, die dieses schematische und textbausteinartige Vorgehen des Gerichts belegen. Der eigentlich als zusätzliche Hürde gedachte Richtervorbehalt verkommt dadurch zur bloßen Makulatur.

Eine gute Erläuterung des Urteils liefert auch der Kollege Dosch.

Vor einiger Zeit hatte ich bereits darüber berichtet, dass ein schwäbischer Jugendrichter einen Facebook-Account eines Angeklagten beschlagnahmt und von Facebook die Herausgabe von Kommuniaktionnhalten verlangt hat. Dies hatte Facebook verweigert, weshalb das Gericht die Facebook-Lobbyistin Erika Mann als Zeugin geladen hat.

Die Zeugin hat dann offenbar aber darum gebeten, sie von der Erscheinenspflicht zu entbinden. Dem Gericht ließ sie über einen anwaltlichen Vertreter erklären, dass für die in Deutschland erbrachten Dientleistungen zwar Facebook Irland die verantwortliche Gesellschaft sei, dass aber die Daten gleichwohl auf Servern in den USA gespeichert seien, weshalb eine Beauskunftung nur über die Stellung eines Rechtshilfeersuchen an die USA möglich sei. Denn Facebook Irland sieht sich durch amerikanisches Datenschutzrecht an der Herausgabe der Daten gehindert, wie der Jugendrichter im Termin erläuterte.

Der Amtsrichter hat sich in dem heutigen Termin, in dem er sein Urteil verkündete, dann auch sehr eindeutig und kritisch in Richtung Facebook geäußert, wie der Reutlinger Generalanzeiger berichtet.

Facebook hat vor kurzem eine Timeline (Chronik) eingerichtet, in der die verschiedensten Aktivitäten eines Facebooknutzers öffentlich – oder auch eingeschränkt, wenn man die standardmäßigen Privatsphäreneinstellungen entsprechend abändert – angezeigt werden. Um beobachten zu können, was diese neue Chronik per default so alles preisgibt, habe ich meine Privatsphäreneinstellungen bewusst unverändert gelassen und es ganz gezielt vermieden, irgendeinen Bestätigungsbutton anzuklicken.

Die Preisgabe der Information, dass ich beispielsweise etwas in die Gruppe „Netzpolitik“ poste, erscheint mir naheliegend, zumal ich ja möchte, dass das gelesen wird. Dass in meiner Chronik allerdings auch Einträge erscheinen wie „Thomas hat einen Artikel gelesen.“, einschließlich des Links auf den gelesenen Artikel, ist weniger harmlos. Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt. Im konkreten Beispielsfall hatte ich in der Facebook-Gruppe „Netzpolitik“ auf einen Link geklickt, der zu einem Artikel des britischen Guardian führte.

Die Preisgabe dieser Information ist ohne meine ausdrückliche Einwilligung allerdings datenschutzwidrig und verletzt grundsätzlich auch mein allgemeines Persönlichkeitsrecht. Denn ehrlich gesagt, möchte ich weder die Allgemeinheit noch meine Facebook-Freunde ständig darüber informieren, was ich online lese. Auch wenn Facebook mittlerweile bei den Privatsphäreneinstellungen relativ viele Möglichkeiten anbietet, lässt sich speziell der genannte Aspekt wohl auch nicht einzeln deaktivieren. Man kann diesen Eintrag nur nachträglich aus der Chronik ausblenden. Wer nur die Einstellung gewählt hat, dass seine Postings öffentlich sein sollen, muss noch lange nicht damit rechnen, dass er damit auch in die Preisgabe der von ihm angeklickten Links einwilligt.

Bereits der Umstand, dass Facebook das gesamte Nutzungsverhalten eines jeden Facebooknutzers lückenlos aufzeichnet, verstößt gegen das Datenschutzrecht und zwar selbst dann, wenn der Nutzer den Datenschutzbestimmungen von Facebook ausdrücklich zugestimmt haben sollte. Denn der Nutzer wird von Facebook erst gar nicht darüber informiert, dass sein gesamtes Nutzungsverhalten lückenlos getrackt wird und damit Bewegungsprofile erstellt werden.

Die Zustimmungserklärung, die Facebook versucht den Nutzern unterzujubeln, entspricht ohnehin nicht den Anforderungen von § 4a BDSG. Das bedeutet, dass kein deutscher Nutzer von Facebook den Datenschutzbestimmungen in rechtswirksamer Weise zustimmen wird oder zugestimmt hat. Das ist allerdings ein Umstand, der Facebook wenig zu kümmern scheint.

Facebook verstößt weiterhin konsequent gegen deutsches und europäisches Datenschutzrecht, an das es allerdings gebunden ist.

Die durch EU-Verordnung geschaffene Behörde BEREC (Body of European Regulators for Electronic Communications) hat der Kommission einen ersten Bericht über Providerpraktiken zum „Traffic Management“ vorgelegt. Der Bericht gelangt zu dem Ergebnis, dass die Blockade von VoIP- und P2P-Traffic üblich ist, wobei die Internettelefonie (VoIP) primär im Mobilfunkbereich blockiert wird, zumeist entsprechend vertraglich vorgesehener Einschränkungen, während der Zugriff auf Peer-To-Peer-Netzwerke vorwiegend im Festnetzbereich beschränkt wird. Sofern ein solcher Blockademechanismus implementiert ist, wird er nach den Erkenntnissen von BEREC zumeist im Wege der Deep-Packet-Inspection (DPI) umgesetzt.

Darüber hinaus hat BEREC eine große Bandbreite weiterer Maßnahmen festgestellt, die unterschiedlich weit verbreitet sind. Hierzu gehört die Drosselung des Streamings ebenso wie die bevorzugte Behandlung bestimmter Services.  Die hierzulande vieldiskutierte Idee der Einführung von Diensteklassen scheint also bereits der Praxis einer ganzen Reihe von Providern zu entsprechen.

Der Bericht der BEREC – bislang ist nur eine Pressemitteilung veröffentlicht – wird die Netzneutralitätsdiskussion vermutlich wieder befeuern. Axel Spieß berichtet im Beck-Blog ergänzend von einem Konsultationsverfahren von BEREC zur Nicht-Diskriminierung.

Über den Sinn und Zweck des Dienstes De-Mail, mit dem der Gesetzgeber eine sichere Kommunikationsstruktur im Internet schaffen will, ist gerade im Netz kontrovers diskutiert worden. Rechtsanwältin Ann-Karina Wrede hat sich intensiv mit dem Thema befasst und beurteilt das Konzept positiv. Sie hat mir freundlicherweise folgenden Gastbeitrag zur Verfügung gestellt:

Der (Un)Sinn der De-Mail
von Ann-Karina Wrede

Seit der CeBIT ist es amtlich: insgesamt drei Unternehmen dürfen sich nun ganz offiziell „De-Mail-Diensteanbieter“ nennen. Doch obwohl schon viel über das neue Angebot berichtet worden ist, scheint sich der Mehrwert dieser Dienstleistung noch nicht wirklich herumgesprochen zu haben und so hagelt es mal wieder massenhaft Kritik. Wie immer eigentlich, wenn Unwissenheit im Spiel ist…

Die Ausgangslage
Zur Ausgangslage soll hier nur kurz festgestellt werden, dass im gewöhnlichen Unternehmensalltag vertrauliche Unterlagen über das Standard-E-Mail-Protokoll SMTP verschickt werden – und damit ohne die Gewährleistung von Authentizität, Integrität oder Vertraulichkeit und Verfügbarkeit.

(Unter anderem) aufgrund dieser Sicherheitsrisiken wurde im Mai 2011 das De-Mail-Gesetz verabschiedet, welches den rechtlichen Rahmen zur Einführung vertrauenswürdiger De-Mail-Dienste und damit zur sicheren elektronischen Kommunikation schuf. Dies ist im Übrigen der Unterschied zum E-Postbrief, da sich die Post nicht den Vorgaben des De-Mail-G unterworfen hat – was sie inzwischen aber laut welt.de zu überdenken scheint…

Bei der De-Mail also gilt das Motto:

„De-Mail – So einfach wie E-Mail, so sicher wie Papierpost.“

Jedermann (und jede Frau) soll also in der Lage sein, einfach sichere Nachrichten zu verschicken, ohne dass dafür eine besondere Soft- oder Hardware implementiert werden muss.

Die Kritiker
Doch wie immer bei Veränderungen sind die Kritiker nicht weit entfernt. Und so wird kritisiert, was das Zeug hält. Die Anknüpfungspunkte hierfür lassen sich vor allem in den Bereichen

• der fehlenden Ende-zu-Ende-Verschlüsselung,
• den Kosten und
• der insgesamten Sinn(los)igkeit des ganzen Dienstes

finden. Kritisiert wird dabei vor allem von vorgeblich technikaffinen Personen. Diese lassen oft pragmatische Gesichtspunkte außer Acht.

Fehlende Ende-zu-Ende-Verschlüsselung
Die Kritik bezieht sich auf die vorgenommene Entschlüsselung zur Prüfung von Nachrichten auf Schadsoftware. Fakt ist: Es gibt keine Ende-zu-Ende-Verschlüsselung, zumindest nicht als Standardeinstellung. Wer dennoch nicht auf sie verzichten möchte, muss lediglich einen öffentlichen Schlüssel in den Verzeichnisdienst (§ 7 De-Mail-Gesetz) hochladen und kann diesen mit seinem Kommunikationspartner austauschen. Anschließend ist eine durchgängige Ende-zu-Ende-Verschlüsselung möglich, eine Prüfung auf Schadsoftware findet nicht statt. Dies setzt natürlich einen gewissen Aufwand des Nutzers voraus – und sicherlich auch eine gewisse Sensibilität desselbigen. Mit entsprechenden Kurzanleitungen auf den Serviceseiten der Diensteanbieter sollte dies aber selbst für den Durchschnittsverbraucher keine große Hürde darstellen.

Doch auch wenn diese Option nicht genutzt werden sollte und es tatsächlich für einige Sekunden zu einer „Entschlüsselung“ der Nachrichten zur Malewareprüfung kommt, ist es nicht so, dass die Nachrichten in dieser Zeit für jeden (Dritten) frei zugänglich „irgendwo rum liegen“. Tatsächlich befinden sich die Nachrichten während dieser Zeit auf verschlüsselten Festplatten und auch der gesamte Transport findet verschlüsselt statt. Wegen ausgefeilter und abgestufter Rollen- und Berechtigungskonzepte bei den Diensteanbietern ist auch den jeweiligen Mitarbeitern nicht per se ein Mitlesen der Nachrichteninhalte (sprich ein Zugriff auf diese) möglich.

Die Kosten
Die Kosten des Ganzen bilden einen weiteren Kritikpunkt. Denn diese seien zu hoch. Doch vergleicht man die der Mentana oder der Telekom, die etwa um die 39 Cent liegen, stellt man fest, dass dieser Preis noch weit unter dem eines Standardbriefes liegt. Die Versandbestätigung soll etwa 69 Cent extra kosten, was in Summe einen Preis von 1,08 € ausmacht und damit immer noch deutlich unter den Kosten eines entsprechenden Einwurf-Einschreibens von 1,60 € liegt. Dass eine elektronische Nachricht außerdem schneller verschickt sein dürfte als eine Papierpost, dürfte dabei auf der Hand liegen…

Sinn(los)igkeit des ganzen Dienstes
Bliebe also nur noch die Kritik an der gesamten Sinn(los)igkeit des neuen Angebots. Zumindest bei Twitter fallen Hashtags wie #Dummenfang oder #VDS. Doch da scheint noch immer nicht im Bewusstsein der technikaffinen Twitter-Nutzer angekommen zu sein, dass es auch andere Menschen gibt, die nicht so mir-nichts-dir-nichts wissen, wie man Dateien oder E-Mails tatsächlich verschlüsselt – und an dieser Stelle ist nicht der bloße Passwortschutz (= Zugriffschutz) gemeint. Denn tatsächlich weiß der einzelne Nutzer vor dem Rechner oft nicht, was eigentlich der Unterschied zwischen einem Passwortschutz und einer Verschlüsselung ist und schon gar nicht, wie man letztere herstellen kann.

Verschlüsselungen mittels WinZip oder PGP sind in Unternehmen für den „normalen“ Mitarbeiter oft zu kompliziert, unverständlich und überfordernd. Dies wiederum hat oft zur Folge, dass lieber nichts verschlüsselt wird und vertrauliche Unterlagen im Klartext durchs World Wide Web geschickt werden. Dass dies keine wirkliche Lösung sein kann, liegt ebenfalls auf der Hand.

Fazit
Ein gewisses Maß an Skepsis bei Einführung neuer Produkte ist sicherlich sinnvoll, sollte aber den Blick aufs Wesentliche nicht verdecken. Die Einführung der De-Mail ist unter Umständen nicht für alle Unternehmen und vielleicht auch nicht für jede Privatperson die beste Lösung, mit Sicherheit aber ein Schritt in die richtige Richtung zur sicheren elektronischen Kommunikation. Sie bietet den Vorteil, dass keine Implementierung neuer Hard- oder Software notwendig ist und dass sie tatsächlich so einfach zu verschicken ist, wie eine herkömmliche E-Mail.

Darüber hinaus liegt der gesamten Akkreditierung eine mehrstufige Prüfung durch unterschiedliche und unabhängige Sachverständige zugrunde, welche die Einhaltung der gesetzlichen (wozu auch die Einhaltung von Löschfristen gehören) und technischen Anforderungen begutachtet haben.

Kritik ist gut und wichtig, allerdings sollte sie stets konstruktiv und objektiv sein – oder zumindest eine vergleichbare Alternative bieten. Diese ist allerding – zumindest im Moment – nirgends zu finden.

Das Landgericht Berlin hat mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Das geht aus einer Pressemitteilung der Verbraucherzentrale Bundesverband hervor, die die Klage gegen Facebook angestrengt hat. Auch das Landgericht Berlin hat mittlerweile eine Pressemitteilung veröffentlicht.

Damit ist zudem klargestellt, dass das Landgericht Berlin einen Gerichtsstand in Deutschland sowie die Anwendbarkeit des deutschen Rechts bejaht hat.

Interessant wird die Frage sein, wie Facebook auf die Entscheidung reagiert und wo und wie das Urteil notfalls vollstreckt werden soll. Vermutlich wird Facebook aber zunächst Berufung zum Kammergericht einlegen.

Update:
Der Kollege Carsten Ulbricht hat sich noch etwas ausführlicher mit dem Fall beschäftigt und vertritt u.a. die Ansicht, dass Facebook das Urteil, sollte es rechtskräftig werden, nicht einfach ignorieren kann. Das Urteil wird von der vzbv sicherlich mit den Mitteln des Ordnungsgeldes und ggf. der Ordnungshaft vollstreckt werden, sollte sich Facebook nicht an den Urteilsspruch halten. Auch wenn ein Ordnungsgeld von bis zu 250.000 EUR für ein Unternehmen wie Facebook zunächst noch keine sehr große Keule sein dürfte, wäre eine Ordnungshaft gegen den Geschäftsführer / Vorstand von Facebook Ireland dann aber doch eine interessante Sache.

Lese gerade bei Richard Gutjahr einen Blogbeitrag über Direktmarketing und Adresshandel in Deutschland. Was Richard dort beschreibt, ist alles überhaupt nicht neu, aber andererseits keineswegs so im öffentlichen Bewusstsein verankert, wie es vielleicht nötig wäre, um zu erkennen, dass sich die Aufregung über Google oder Facebook relativieren muss, wenn man die einheimischen Sauereien im Bereich des Datenschutzes in die Betrachutng einbezieht.

Einer der aktiven Player im inländischen Adresshandel ist übrigens der Staat selbst, in Person der Kommunen.

Wenn man sich diesem Phänomen annähert, sollte einem der Begriff des Listenprivilegs vertraut sein, der auch in Gutjahrs Blogpost angesprochen wird. Das Listenprivileg ist eine von Lobbyisten durchgesetzte Ausnahmeregelung im Bundesdatenschutzgesetz (BDSG), die es ermöglicht, listenmäßig zusammengefasste personenbezogene Daten zu Zwecken der Werbung und des Adresshandels auch ohne Einwilligung des Betroffenen zu verarbeiten und an Dritte weiterzugeben. Das sog. Listenprivileg ist in § 28 Abs. 3 S. 2 und § 29 Abs. 2 S. 2 BDSG verankert. Die Bundesregierung wollte dieses Listenprivileg im Zuge der Novellierung des BDSG im Jahre 2009 eigentlich abschaffen und durch eine Einwilligungsregelung ersetzen, ist dann aber letztlich wieder vor der Direktmarketing-Lobby eingeknickt.

Die Datenschützer haben sich zwar auch gegen das Listenprivileg gewandt, allerdings nicht annähernd so vehement, wie man aktuell gegen Google oder Facebook kämpft. Insgesamt eine sehr deutsche Story wie ich finde.

Mit Urteil vom 16.02.2012 (Az.: C?360/10) hat der EuGH entschieden, dass den Betreiber eines sozialen Netzwerkes keine allgemeine Filterpflicht trifft, um die urheberrechtswidrige Nutzung musikalischer und audiovisueller Werke zu verhindern.

Der EuGH führt zunächst aus, dass er den Betreiber eines sozialen Netzwerkes als Hosting-Provider betrachtet, soweit er für die Nutzer seines Dienstes Inhalte speichert. Sodann bezieht sich der EuGH auf Art. 15 Abs. 1 der E-Commerce-Richtlinie und betont, dass es danach nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Hosting-Anbieter verpflichten würden, von ihm gespeicherte Informationen generell zu überwachen.

Die Anordnung ein Filtersystem einzurichten, würde nach Einschätzung des Gerichtshofs eine präventive Überwachung  und eine aktive Beobachtung der von den Nutzern beim Hosting-Anbieter gespeicherten Dateien erfordern. Eine solche Anordnung würde den Hosting-Anbieter zu einer allgemeinen Überwachung verpflichten, die nach Art. 15 Abs. 1 der E-Commerce-Richtlinie gerade verboten ist.

Sehr instruktiv sind folgende Ausführungen des EuGH zur Abwägung der Interessen der Rechteinhaber und der Hosting-Anbieter, sowie insbesondere zu den Grundrechten der Nutzer auf Informationsfreiheit und den Schutz ihrer personenbezogenen Daten:

Unter diesen Umständen ist festzustellen, dass die Anordnung, das streitige Filtersystem einzurichten, als Missachtung des Erfordernisses der Gewährleistung eines angemessenen Gleichgewichts zwischen dem Schutz des Rechts am geistigen Eigentum, das Inhaber von Urheberrechten genießen, und dem Schutz der unternehmerischen Freiheit, der Wirtschaftsteilnehmern wie den Hosting-Anbietern zukommt, einzustufen ist (vgl. entsprechend Urteil Scarlet Extended, Randnr. 49).

Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den Hosting-Anbieter beschränken, weil das streitige Filtersystem auch Grundrechte der Nutzer der Dienste dieses Anbieters beeinträchtigen kann, und zwar ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.

Die Anordnung, das streitige Filtersystem einzurichten, würde nämlich zum einen die Ermittlung, systematische Prüfung und Verarbeitung der Informationen in Bezug auf die auf dem sozialen Netzwerk von dessen Nutzern geschaffenen Profile bedeuten, wobei es sich bei den Informationen in Bezug auf diese Profile um geschützte personenbezogene Daten handelt, da sie grundsätzlich die Identifizierung der genannten Nutzer ermöglichen (vgl. entsprechend Urteil Scarlet Extended, Randnr. 51).

Zum anderen könnte die fragliche Anordnung die Informationsfreiheit beeinträchtigen, weil die Gefahr bestünde, dass das System nicht hinreichend zwischen einem unzulässigen und einem zulässigen Inhalt unterscheiden kann, so dass sein Einsatz zur Sperrung von Kommunikationen mit zulässigem Inhalt führen könnte. Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein, oder sie können von den fraglichen Urhebern kostenlos ins Internet gestellt worden sein (vgl. entsprechend Urteil Scarlet Extended, Randnr. 52).

Eine Entscheidung, die zusammen mit dem vorangegangenen Urteil „Scarlet Extended, das sich mit der Frage von Filterpflichten von Zugangsprovidern beschäftigte, als wegweisend betrachtet werden muss. Die Rechtsprechung des EuGH nimmt ersichtlich auch mit Blick auf die Grundrechte mehr und mehr Konturen an.

Das Urteil des Europäischen Gerichtshofs stellt m.E. auch die Entscheidungen des BGH „Internet Versteigerung I„,  „Internet Versteigerung II“ und „Internet-Versteigerung III“ in Frage. Der BGH hatte dort ausgeführt, dass der Betreiber einer Handelsplattform (eBay) verpflichtet ist, Vorsorge zu treffen, dass es nicht zu weiteren Markenverletzungen kommt, sobald er einmal auf einen solchen Rechtsverstoß hingewiesen wurde. Insoweit hat der BGH auch ausdrücklich vom Einsatz einer Filtersoftware und von einem vorgeschalteten Filterverfahren gesprochen und eine entsprechende Vorabkontrolle zumindest in gewissem Umfang für zumutbar erachtet.

Die E-Kommission hat vor einigen Wochen die Entwurfsfassung einer geplanten Datenschutzverordnung (Datenschutz-Grundverordnung) veröffentlicht, zusammen mit weiteren Entwürfen und Materialien.

Insbesondere aus Kreisen der Rechtswissenschaft und von einem Richter am Bundesverfassungsgericht wurde Kritik an den Plänen geäußert. Neben mir hat auch Simon Möller bei Telemedicus kritisch zu dem Verordungsentwurf gebloggt.

Die beiden Rechtsanwälte Jochen Schneider und Niko Härting – zwei äußerst renommierte IT-Rechtler – haben sich nunmehr ebenfalls äußerst kritisch mit der geplanten Verordnung auseinandergesetzt. Härting und Schneider fordern bereits seit einiger Zeit eine vollständige Neugestaltung des Datenschutzrechts.

An dem Verordnungsentwurf bemängeln Schneider/Härting u.a., dass das datenschutzrechtliche „Medienprivileg“ nicht weiter ausgearbeitet wird und das Spannungsverhältnis zwischen Datenschutzrecht einerseits und Meinungs- und Medienfreiheit andererseits nicht aufgelöst wird. Außerdem kritisieren die beiden Juristen die Beibehaltung des datenschutzrechtlichen Verbotsprinzips sowie den Umstand, dass die Unterscheidung personenbezogene und nicht personenbezogene Daten nach einem strikten Schwarz-Weiß-Prinzip beibehalten wird.

Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.

Google  will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.

Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.

Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:

Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.

Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:

Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:

• Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
• Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
• IP-Adresse.
• Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
• Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:

Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.

Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.

Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:

Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.

Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.

Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.

Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).

Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.

Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.

Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.

Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.