Internet-Law

Diese Schlussfolgerung legt zumindest das sog. Datenschutzbarometer der Xamit Bewertungsgesellschaft mbH nahe, das auf einer allerdings automatisierten Auswertung deutscher Websites beruht. Nach dieser Auswertung soll auf 82 % der deutschen Webpräsenzen gegen Datenschutzrecht verstoßen werden. Diese rechtliche Bewertung orientiert sich an den Vorgaben des Düsseldorfer Kreises bzw. der Aufsichtsbehörden, die freilich nicht immer unumstritten sind.

Die Zunahme der Datenschutzverstöße ist laut der Studie u.a. auf die verstärkt anzutreffende Einbindung des Facebook-Like-Buttons zurückzuführen und auf den Einsatz nicht datenschutzkonformer Statistiktools. Speziell was die Einbindung des Like-Buttons angeht, sieht die derzeit herrschende Ansicht in der juristischen Literatur allerdings keinen Rechtsverstoß des Webseitenbetreibers.

Das m.E. durchaus gewagte und reißerische Fazit der Studie lautet, dass sich der wirtschaftliche Vorteil durch Datenschutzverstöße in der Bundesrepublik auf mehr als 7,5 Mrd. Euro beläuft. Dieser Annahme liegt m.E. allerdings keine wirklich fundierte Berechnung zugrunde (siehe S. 49 ff. der Untersuchung).

Man sollte die Zahlen und Schlussfolgerungen von Xamit daher insgesamt eher skeptisch betrachten.

Vor einigen Tagen wurde ein erster Entwurf einer EU-Datenschutzverordnung geleakt. Heise hat bereits darüber berichtet und auf einige Aspekte hingewiesen.

Ich habe mir den Entwurf ebenfalls angesehen und möchte auf einige ausgewählte Aspekte hinweisen. Man muss zunächst davon ausgehen, dass es sich um einen unabgestimmten Entwurf in einem sehr frühen Stadium handelt, der bis zu seinem Inkrafttreten noch zahlreiche Änderungen erfahren wird.

Das Entwurfskonzept beinhaltet einen Paradigmenwechsel im europäischen Datenschutzrecht. Die Kommission möchte den Datenschutz künftig nicht mehr in Form einer Richtlinie, sondern einer Verordnung regeln. Die Verordnung gilt – anders als die Richtlinie – unmittelbar in allen Mitgliedsstaaten. Damit würde die EU das Datenschutzrecht in wesentlichen Teilen vollständig an sich ziehen.

Der Verordnungsentwurf stellt nicht mehr das personenbezogene Datum, sondern die Person (Datensubjekt) in den Vordergrund (Art. 3 I) der Betrachtung. Datensubjekt ist danach eine Person, die direkt oder indirekt identifiziert werden kann und zwar durch Maßnahmen die vernünftigerweise naheliegend sind. Das klingt mir sehr danach, dass damit die Theorie vom relativen Personenbezug aufgegriffen und kodifiziert werden soll.

Interessant ist außerdem, dass der Entwurf jede Person unter 18 Jahren als Kind definiert, um dann bei der Einwilligung darauf abzustellen, dass bei Kindern eine Einwilligung der Eltern bzw. des gesetzlichen Vertreters erforderlich ist. Das könnte weitreichende Folgen im Hinblick auf die Nutzung sozialer Netzwerke durch Jugendliche haben. Denn letztlich bräuchte dann jeder Minderjährige, der ein Facebookprofil einrichten will, die Einwilligung seiner Eltern.

Der Entwurf sieht ferner neben einem Recht auf Löschung auch das vieldiskutierte „Right To Be Forgotten“ vor (Art. 15). Außerdem ist in dem Entwurf die Verpflichtung der datenverarbeitenden Stelle enthalten, Datenschutz standardmäßig (by Default) zu implementieren.

Der Verordnungsentwurf regelt zudem einen Anspruch desjenigen auf Schadensersatz, dessen Rechte durch eine ungesetzliche Datenverarbeitung verletzt worden sind (Art.  77). Die Bußgelder die die Verordnung vorsieht, sind spürbar und können bei einigen Verstößen bis zur Höhe von 5 % des weltweiten Jahresumsatzes eines Unternehmens festgesetzt werden (Art. 79). Es könnte also durchaus sein, dass Verstöße künftig wirklich effektiv sanktioniert werden.

Der sog. Düsseldorfer Kreis – das Treffen der obersten Datenschutzbehörden für den nichtöffentlichen Bereich – hat sich in einem neuen Papier der Haltung des ULD zu sozialen Netzwerken und Social-Plugins angeschlossen.

Die Grundaussage, wonach auch soziale Netzwerke die außerhalb des europäischen Wirtschaftsraums ansässig sind, deutsches Datenschutzrecht zu beachten haben, halte ich für rechtlich zutreffend. Dass speziell das Angebot von Facebook allerdings weit davon entfernt ist, mit deutschem und europäischem Datenschutzrecht konform zu sein, ist andererseits offensichtlich. Möglicherweise wird die EU künftig effektiver gegen dieses Vollzugsdefizit vorgehen, sollte das Datenschutzrecht tatsächlich in einer EU-Verordnung geregelt werden, weil dann wegen der Datenschutzverstöße großer amerikanischer Player wie Google oder Facebook auch mit spürbaren Bußgeldern gerechnet werden kann.

Zu den zuletzt äußerst umstrittenen Themen der Einbindung von Social-Plugins und des Betreibens von Facebook-Fanseiten schreibt der Düsseldorfer Kreis:

In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Daten- verarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.

Auch wenn ich die Bedenken des Düsseldorfer Kreises nachvollziehen kann, entspricht diese Aussage meines Erachtens nicht der geltenden Rechtslage. Denn eine irgendwie geartete (Störer-)Verantwortlichkeit kennt das deutsche Datenschutzrecht nicht. Adressat des BDSG und des TMG ist vielmehr die verantwortliche Stelle (§ 3 Abs. 7 BDSG), die allerdings auch ein Mindestmaß an Datenhoheit inne haben muss. Und daran fehlt es bei Webseitenbetreibern die Social-Plugins einbinden und auch bei Facebook-Fansites.

Die Haltung des Düsseldorfer Kreises wirft letztlich die Frage auf, ob diese Verantwortlichkeit nicht jeden Inhaber eines Facebookprofils treffen müsste, nachdem bereits der Betrieb einer Facebook-Fanseite ausreichend für die Begründung einer datenschutzrechtlichen Verantwortung sein soll. Die einzige Einschränkung die die Datenschutzbehörden machen, ist nur noch die Stellung als Unternehmen. Aber auch das ist letztlich inkonsequent, denn das BDSG ist nur dann nicht anwendbar, wenn die Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Das kann man – wenn man der Logik des Düsseldorfer Kreises folgt –  aber für die Mitwirkung an einer Datenverarbeitung, die für unternehmerische Zwecke von Facebook erfolgt, ganz bestimmt nicht annehmen.

Die Haltung des Düsseldorfer Kreises ist deshalb, wie so häufig, inkonsequent. Konsequent zu Ende gedacht, hätte man nämlich formulieren müssen, dass ein Facebookprofil generell nicht mit deutschem Datenschutzrecht vereinbar ist. Denn man wirkt damit an der unzulässigen Datenverarbeitung von Facebook mit. Was für Fanpages von Facebook gilt, muss letztlich auch für jeden beliebigen Account gelten. Die sich aufdrängende Schlussfolgerung, dass 20 Millionen deutsche Facebooknutzer sich nicht datenschutzkonform verhalten, wollte der Düsseldorfer Kreis dann aber offenbar doch nicht ziehen, zumal auch Menschen wie der Bundesdatenschutzbeauftragte Facebookprofile haben.

Ob sich dieses Dilemma jemals vernünftig auflösen wird, darf man übrigens bezweifeln. Denn die Währung in der der Nutzer von sozialen Medien wie Facebook oder Google+ bezahlt, heißt personenbezogene Daten. Es entspricht gerade dem Geschäftsmodell von Facebook und Google+ möglichst viele Nutzerdaten zu erheben und diese auch entsprechend zusammenzuführen, um damit das Nutzerverhalten zu analysieren. Gleichzeitig wird dem Nutzer der Umfang der Datenerhebung und vor allen Dingen der Weiterverarbeitung und Zusammenführung von Daten natürlich gezielt verschwiegen.

Die Durchsetzung eines Datenschutzregimes auf deutschem Niveau würde das Geschäftsmodell von Facebook oder Google+ zerstören. Für datenschutzfreundliche soziale Medien müsste der Nutzer nämlich in einer anderen Währung bezahlen, die Euro oder Dollar heißt.

Diese  Zusammenhänge und Mechanismen sollten sich nicht nur die Datenschutzbehörden vor Augen führen, sondern gerade auch wir Nutzer.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit seiner Aufforderung an Webseitenbetreiber und Betreiber von Facebook-Fanpages viel Staub aufgewirbelt. Das ULD hält sowohl die Einbindung eines Facebook-Like-Buttons als auch den Betrieb einer Fanpage bei Facebook für datenschutzwidrig.

Dass ich die rechtliche Einschätzung des ULD für falsch halte, habe ich hier bereits erläutert. Auch in der juristischen Fachliteratur überwiegt bislang die Kritik. Für besonders lesenswert halte ich in diesem Zusammenhang den Beitrag des Kollegen Flemming Moos für die K&R.

Ein weiteres Gutachten des wissenschaftlichen Dienstes des Schleswig-Holsteinischen Landtags vom 24.10.2011 kommt ebenfalls zu diesem Ergebnis. Das Gutachten prüft zunächst schulmäßig die Frage, ob man bei IP-Adressen und Cookies überhaupt von personenbezogenen Daten sprechen kann und stellt insoweit den Streitstand ausführlich dar. An dieser Stelle ist die Haltung des ULD nach Ansicht des wissenschaftlichen Dienstes zwar nicht abwegig, andererseits könne angesichts der kontroversen juristischen Diskussion auch nicht ohne weiteres davon ausgegangen werden, dass die Ansicht des ULD gerichtlich bestätigt wird.

Die insoweit entscheidende Frage, ob der Betreiber einer Facebook-Fanpage bzw. einer Webseite die den Like-Button einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist, beurteilt der wissenschaftliche Dienst anders als das ULD. Zutreffend wird diesbezüglich in dem Gutachten ausgeführt, dass für die Annahme einer verantwortlichen Stelle stets ein gewisser Grad an Einflussmöglichkeit auf die tatsächlich erfolgenden Datenverarbeitungsprozesse erforderlich ist. Und genau diese Einflussmöglichkeit fehlt vollständig. Die Datenverarbeitungsprozesse werden einzig und allein von Facebook gesteuert, Betreiber von Fanpages und Websites haben hierauf keinerlei Einfluss.

Damit verfestigt sich der Trend, dass die überwiegende Mehrheit in der juristischen Fachwelt das Vorgehen des ULD für rechtswidrig hält.

Update vom 02.12.2011:
Von mir bislang übersehen, ist zu dieser Thematik ein weiterer Fachaufsatz von Carlo Piltz (CR 2011, 657) mit dem Titel „Der Like-Button von Facebook“ erschienen. Piltz prüft zunächst, ob Facebook selbst gegen deutsches Datenschutzrecht verstößt und bejaht dies. Das deckt sich mit meiner Ansicht, die ich unlängst ebenfalls noch in Aufsatzform für die Zeitschrift für Datenschutzrecht (ZD 2011, 57) dargestellt habe.

Piltz befasst sich dann auch noch mit der vom ULD aufgeworfenen Fragestellung und gelangt zu dem Ergebnis, dass der Webseitenbetreiber, der den Facebook-Like-Button bei sich einbindet, nicht verantwortliche Stelle im Sinne des BDSG und des TMG ist. Zur Begründung führt auch Piltz aus, dass die Webseitenbetreiber keinen direkten Einfluss auf die Funktionsweise des Plug-Ins haben und damit auch nicht auf die Datenübermittlung.  Wenn allerdings keinerlei Verfügungsgewalt über die erhobenen Daten besteht, erscheint es nicht angebracht, so Piltz, die Webseitenbetreiber als verantwortliche Stelle zu beurteilen.

Auf der Jahrestagung der Deutschen Gesellschaft für Recht und Informatik (DGRI) am vergangenen Wochenende in München wurde u.a. über eine Modernisierung des Datenschutzrechts diskutiert. Peter Bräutigam hat ein Thesenpapier vorgestellt, das von ihm, Jochen Schneider und Bernd H. Harder stammt und das, ein neues, zeitgemäßes Rahmenkonzept für den Datenschutz fordert.

Dieser Ansatz bzw. diese Thesen sind bereits seit einigen Monaten im Gespräch. Die Thesen, die auf eine grundlegende Reform des Datenschutzrechts abzielen, sind in der Diskussion bei der DGRI überwiegend auf Zustimmung gestoßen.

Wesentlicher Bestandteil dieses Konzeptes ist ein Abschied von dem geltenden Verbotsprinzip. Zentraler Ansastzpunkt des geltenden Rechts ist die Annahme, dass zunächst jede Art der Verarbeitung personenbezogener Daten verboten ist, solange nicht ein gesetzlicher Erlaubnisstatbestand eingreift (Verbot mit Erlaubnisvorbehalt). Dieses Modell differenziert nicht nach der Art der personenbezogenen Daten und fragt auch nicht nach der Schwere der Beeinträchtigung.

Das vorgestellte Konzept geht demgegenüber davon aus, dass die Gleichbehandlung aller personenbezogener Daten nicht mehr zweckmäßig ist, sondern will das materielle Schutzgut „Privatsphäre/Persönlichkeit“ in den Mittelpunkt stellen und damit gleichzeitig das Regelungsobjekt „Daten“ abschaffen. Letztlich soll also an die Stelle des Verbotsprinzips eine Abwägung verschiedener Rechtspositionen treten.

Verdeutlicht wurde das im Vortrag anhand des Beispiels des personenbezogenen Datums der Religonszugehörigkeit. Während die Zugehörigkeit des Papstes zum katholischen Glauben für diesen kein sensibles Datum darstellt, kann der Angehörige einer religiösen Minderheit ein hohes subjektives Interesse am Schutz derselben Information haben. Nachdem also ein und dasselbe Datum für unterschiedliche Personen eine ganz unterschiedliche Bedeutung haben kann und damit auch ein unterschiedliches Schutzbedürfnis besteht, erscheint es auch nicht gerechtfertigt, in beiden Fällen auf dasselbe Schutzniveau abzustellen.

Das geltende Datenschutzrecht fragt zunächst nicht danach, ob und in welchem Umfang der Schutz eines bestimmten Datums notwendig erscheint, sondern schützt zunächst jedes personenbezogene Datum gleich und folgt damit in gewisser Weise einem Schwarz-Weiß-Schema. Dieses Phänomen wurde außerhalb von Fachkreisen auch häufiger durch die Forderung, dass man nicht Daten sondern Menschen schützen sollte, kritisiert.

Die Kritik erscheint mir durchaus treffend. Denn wer das Individuum und nicht ein starres Datum in den Mittelpunkt der Betrachtung stellt, muss sich zunächst immer fragen, in welchem Umfang der Einzelne im konkreten Fall überhaupt eines Schutzes bedarf.

Im Vortrag schlossen sich weitere Thesen an, wie die Forderung nach der Schaffung eines verschuldensunabhängigen Schadensersatzanspruchs, der auch den immateriellen Schaden umfassen soll. Insoweit soll auch ein vereinfachtes Verfahren vorgesehen werden, in dem auch ein Mindestschaden geltend gemacht werden kann. Man erhofft sich dadurch eine effektive Ahndung von Datenschutzverstößen, an der es bislang zumeist mangelt.

Auch wenn hier einiges noch äußerst vage dargestellt ist, scheint die Diskussion um eine grundlegende Änderung des Datenschutzrechts zumindest in der Fachwelt angekommen zu sein.

Letztlich wird aber entscheidend sein, was die EU-Kommission demnächst zur Frage der Neuregelung des Datenschutzrechts vorschlagen wird. Es steht allerdings zu vermuten, dass die Datenschutzbehörden, die die Diskussion in den letzten Jahren und Jahrzehnten maßgeblich bestimmt haben, sich mit Ansätzen wie dem von Schneider/Bräutigam/Harder nicht werden anfreunden können.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit Blick auf die Einbindung des Facebook-Like-Buttons und den Betrieb von Facebook-Fanseiten den Ton deutlich verschärft, nachdem offenbar die meisten Angeschriebenen der Aufforderung des ULD nicht nachgekommen sind.

Der Landesdatenschutzbeauftragte Weichert wird in einer Pressemitteilung des ULD vom 04.11.2011 u.a. mit den Worten zitiert:

Staatskanzlei und IHK sollten sich nicht feige wegducken; sie sollten jetzt zumindest dem Gesprächsangebot des ULD folgen, das auf eine schnelle und hinsichtlich des Verfahrens einvernehmliche gerichtliche Klärung hinausläuft.

Das ist für eine Behörde eine durchaus interessante Wortwahl, zumal sie gegen die eigene Landesregierung gerichtet ist. Das ULD hat sich aber möglicherweise nicht nur im Ton vergriffen, sondern dürfte sich auch in rechtlicher Hinsicht auf dem Holzweg befinden.

Denn der Umstand, dass Facebook gegen Datenschutzrecht verstößt, führt nicht ohne weiteres dazu, dass inländische Webseitenbetreiber und Betreiber von Fanpages bei Facebook als verantwortliche Stelle der von Facebook durchgeführten Datenverarbeitung zu betrachten sind. Gerade an dieser juristisch entscheidenden Stelle, erscheint die Argumentation des ULD auch eher dürftig. Die Begründung des ULD läuft letztlich auf eine Art Störerhaftung im Datenschutzrecht hinaus, was als Novum zu betrachten wäre. Diesem Begründungsansatz des ULD ist der geschätzte Kollege Flemming Moos bereits überzeugend entgegengetreten. Die „gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetrieber bzw. Fansite-Betreiber“ die das ULD zu konstruieren versucht, ist rechtlich nicht haltbar.

Die Pressemitteilung des ULD ist auch deshalb von Interesse, weil das ULD die Musterverfügung nach § 38 Abs. 5 BDSG mit Zwangsgeldandrohung sowie die Beanstandungen gegenüber der Staatskanzlei sowie gegenüber der IHK Schleswig-Holstein ins Netz gestellt hat.

Vielleicht wäre das ULD besser beraten, in Zusammenarbeit mit den anderen deutschen Datenschutzbehörden zu überlegen, wie man direkt gegen Facebook vorgeht. Denn das deutsche Datenschutzrecht gilt auch für Facebook. Das bestehende Vollzugsdefizit kann man nicht dadurch kompensieren, dass man den Sack prügelt, obwohl man den Esel meint.

Das Land Schleswig-Holstein wird seine Facebook-Fanpage weiter betreiben und der Aufforderung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zur Abschaltung ihrer Fanseite nicht nachkommen. Die Landesregierung will zwar einen Warnhinweis anbringen, zweifelt im übrigen aber erheblich an der Rechtsauffassung des Datenschutzbeauftragten.

Diese rechtlichen Zweifel werden bislang auch von der juristischen Literatur überwiegend geteilt. Auch der wissenschaftliche Dienst des Bundestages hat die Rechtsansicht des ULD kritisch beleuchtet. Die rechtliche Betrachtung hat sich bisher auf den Like-Button konzentriert und den weiteren Aspekt der Fanpages eher stiefmütterlich behandelt, obwohl das Vorgehen gegen die Fanpages rechtlich noch fragwürdiger erscheint als das gegen Webseitenbetreiber, die Like-Buttons einbinden. Wenn die Ansicht des ULD zutreffend wäre, würde dies bedeuten, dass die (geschäftliche) Nutzung von Facebook und sicherlich auch von Google+ generell datenschutzwidrig wäre. Das ULD schreibt in seiner Stellungnahme:

(…) ist der Nutzer des Dienstes Facebook (auch) als Mitverantwortlicher anzusehen, soweit er z.B. personenbezogene Inhalte Dritter einstellt. Zwar sind bei Sozialen Netzwerken Ausnahmen für den Fall „ausschließlich persönlicher oder familiärer Tätigkeiten“ anerkannt. Allerdings räumt der Nutzer laut Ziffer 2 Nr. 1 der Facebook-Nutzungsbedingungen dem Betreiber Facebook weitgehende Rechte an den Inhalten ein, so dass der persönlich-familiäre Bereich verlassen wird. Somit sind auch Betreiber von Fanpages als für die damit ausgelösten Verarbeitungsprozesse als verantwortliche Stellen anzusehen.

Vor diesem Hintergrund habe ich mich beispielsweise auch gefragt, ob dann nicht auch das Facebook-Profil des Bundesdatenschutzbeauftragten Peter Schaar – das sicherlich nicht rein privater Natur ist – als datenschutzwidrig bewertet werden müsste.

Wenn man wie das ULD den Betreiber einer Facebook-Fanseite als verantwortliche Stelle des von Facebook durchgeführten Trackings bewertet, dann sprengt man damit das Grundkonzept des geltenden Datenschutzrechts und begründet im Ergebnis eine Art datenschutzrechtlicher Störerhaftung, die gesetzlich nicht vorgesehen ist.

Man darf gespannt sein, wie die weiteren Schritte des ULD aussehen und ob es tatsächlich rechtsförmlich gegen die eigene Landesregierung vorgehen wird.

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

Prof. Jochen Schneider, einer der renommiertesten IT-Rechtler in Deutschland, hat gerade einen Vorstoß gestartet, der auf eine vollständige Neugestaltung des Datenschutzrechts abzielt. Im Editorial der aktuellen NJW skizziert Schneider seine Ideen, die er u.a. in einem Aufsatz in der Zeitschrift für Datenschutz (ZD 2011, 63) zusammen mit Niko Härting näher erläutert. In einem weiteren Aufsatz im Anwaltsblatt (AnwBl. 2011, 233) erklärt Schneider das Verbotsprinzip des § 4 BDSG zum zentralen Hemmnis für einen modernen Datenschutz und stellt „12 Thesen zu einem Stufenmodell“ vor.

Die Ausführungen Schneiders treffen ins Schwarze und decken sich in Teilen mit der von mir in diesem Blog wiederholt geäußerten Kritik. Leider findet man aber auch unter den Internetaktivisten viele, die sich als Datenschützer begreifen und hierbei nicht verstehen, dass das geltende Datenschutzrecht und das Wesen der Internetkommunikation in einem unauflösbaren Spannungsverhältnis stehen.

Schneider hat dasVerbotsprinzip, von dem  das deutsche und europäische Datenschutzrecht geprägt wird, zutreffend als zentrales Hemmnis beschrieben. Worin das Problem genau besteht, ist relativ einfach zu erklären.

Das deutsche und auch das europäische Recht (Art. 7 DSRL) gehen davon aus, dass jede Art von Datenverarbeitung und damit auch die Datenübermittlung grundsätzlich verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt).

Wenn wir das auf die Internetkommunikation herunterbrechen, bedeutet dies Folgendes: Im Netz werden fortwährend personenbezogene Daten verarbeitet, zumal Datenschützer bereits jede IP-Adresse als personenbezogen betrachten. Das bedeutet letztlich, dass die Internetkommunikation nach dem System des deutschen und europäischen Rechts grundsätzlich zunächst verboten ist und nur durch punktuelle gesetzliche Gestattungstatbestände erlaubt wird. Diese Gestattungstatbestände – insbesondere §§ 28, 29 BDSG – stammen nun allerdings aus einer Zeit, als vom Internet noch keine Rede war, sondern Daten auf Großrechnern in Rechenzentren verarbeitet wurden.

Das Grundkonzept unseres Datenschutzrechts ist somit nicht internetkompatibel.

Schneider spitzt es darauf zu, dass ein Verbot (mit Erlaubnisvorbehalt) im Zeitalter des Internets auf ein Kommunikationsverbot hinauslaufen würde, weil die laufende Verarbeitung personenbezogener Daten zu den Grundmerkmalen digitaler Kommunikation gehört. Eine konsequente Anwendung eines überholten, auf dem Verbotsprinzip basierenden Datenschutzrechts – die freilich nicht stattfindet – würde zwangsläufig mit der Kommunikatonsfreiheit des Art. 5 GG kollidieren.

Damit ist die Post-Privacy-Debatte in gewisser Weise auch in der rechtswissenschaftlichen Diskussion angekommen, wobei die Kollision zwischen der tradierten Form des Datenschutzes und der Meinungs- und Kommunikationsfreiheit ein bislang nicht ausreichend gewürdigter Aspekt ist.

Die Internet-Enquete-Kommission, die bislang leider primär durch absurde Streitereien und weniger durch konstruktive Anregungen aufgefallen ist, thematisiert die von Schneider aufgeworfene Problematik in ihrem Papier zum Datenschutz, soweit ich erkennen kann, ebenfalls nicht.

Man darf gespannt sein, welchen Widerhall die Thesen Schneiders finden werden.

Die Verbraucherzentrale Bundesverband (vzbv) hat vor einigen Tagen eine Onlinepetition zum Petitionsausschuss des Bundestages gestartet, mit der folgende Forderung erhoben wird:

„Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, dass die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.“

Interessant daran finde ich zunächst, dass auch Organisationen wie die vzbv das Mittel der Onlinepetition für sich entdeckt haben. Obwohl dieses Instrumentarium kaum geeignet ist, auf legislativer Ebene etwas zu bewegen, wird sein Einsatz immer beliebter. Letztlich geht es aber wie bei anderen Onlinepetitionen nur darum, Aufmerksamkeit zu erzeugen und Berichterstattung zu erreichen, denn der Petitionsausschuss als solcher kann und wird nichts bewirken.

Auch wenn die Forderung der vzbv nach „Privacy By Default“ auf den ersten Blick vernünftig klingt, muss man sie aus zwei Gründen für problematisch halten.

Die Formulierung ist zunächst in dieser Form deutlich zu unbestimmt. Was sind Produkte und Dienste? Zu den Diensten im Sinne des TMG und des RStV zählen alle möglichen Internetangebote von der normalen Website, über den Onlineshop bis hin zum Blog. Nachdem zusätzlich von Produkten die Rede ist, soll der Anwendungsbereich wohl noch darüber hinaus gehen. Dass damit also spezifisch soziale Medien wie Facebook angesprochen würden, ist nicht ersichtlich.

Wenn wir allerdings  tatsächlich speziell von Facebook und Co. reden, muss man sich außerdem darüber im Klaren sein, dass die Grundeinstellungen von Facebook, deren Datenschutzbestimmungen sowie die Praxis Facebooks, Daten nicht ohne weiteres mehr löschen zu können, ohnehin nicht mit dem geltenden Datenschutzrecht vereinbar ist. Der Grund dafür, dass sich bislang nichts geändert hat, resultiert aus einem Vollzusgdefizit des deutschen und europäischen Datenschutzrechts.

Wieso sollte man also annehmen, dass neue gesetzliche Regelungen alleine dazu führen werden, dass sich Facebook gesetzeskonform verhalten wird, wenn dies bislang auch nicht der Fall war? Am grundlegenden Problem der fehlenden Durchsetzung des Datenschutzrechts ändert sich durch zusätzliche gesetzliche Vorgaben jedenfalls nichts.

Kritisiert wird der Verstoß der vzbv übrigens auch vom Branchenverband BITKOM. Ob dessen Einwände stichhaltig sind, kann jeder selbst beurteilen.

Das Grundproblem von kostenlosen sozialen Medien wie Facebook oder Google+ besteht darin, dass der Anbieter seine Einnahmen mit den Daten der Nutzer erzielt. Dafür muss er Nutzer- bzw. Bewegungsprofile erstellen, die es ihm ermöglichen, gezielt zu werben oder gar Daten an Drittfirmen zu verkaufen. Letzteres wird offiziell freilich stets bestritten. Die Verkehrsdaten der Nutzer sind letztlich zentraler Bestandteil des Geschäftsmodells von Facebook und Google+.

Vor diesem wirtschaftlichen Hintergrund wird es auch in Zukunft schwierig sein, von Wirtschaftsunternehmen zu erwarten, dass sie eine kostenlose Dienstleistung erbringen und gleichzeitig auf jede Form des Trackings verzichten. Die Alternativen sind entweder bezahlte Mitgliedschaften, für die es keine ausreichende Nutzerakzeptanz gibt, oder altruistisch geführte Social-Media-Plattformen.

Solange die Anbieter aber Facebook oder Google heißen und wir uns als Nutzer auf deren Plattformen bewegen wollen, wird sich im Ergebnis wenig ändern. Facebook und Google werden immer versuchen, mit den Behörden zu kooperieren bzw. diesen Anschein erwecken. Alles was sie anzubieten haben, sind aber Scheinlösungen, weil sie andernfalls ihr Geschäftsmodell preisgeben müssten.