Internet-Law

Der Hamburgische Datenschutzbeauftragte hat heute eine, zumindest für mich, überraschende Pressemitteilung herausggegeben, in der er erklärt, dass Webseitenbetreibern ab sofort ein beanstandungsfreier Einsatz von Google Analytics möglich sei. Parallel hat auch Google Deutschland eine Mitteilung seines betrieblichen Datenschutzbeauftragten dazu veröffentlicht.

Das ist zwar für Nutzer von Google Analytics im Ergebnis erfreulich, zeigt allerdings bei näherer inhaltlicher Betrachtung, dass Deutschland nunmehr endgültig zum datenschutzrechtlichen Schilda geworden ist.

Der Hamburger Datenschutzbeauftragte teilt u.a. mit, dass  Google das Verfahren nunmehr dahingehend geändert habe, dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Gleichzeitig verlangt er aber, dass der Webseitenbetreiber mit Google einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen soll.

Diese Ausführungen sind datenschutzrechtlich widersprüchlich und auch widersinnig. Wenn tatsächlich eine Anonymisierung der IP-Adressen der Nutzer vor einer Übermittlung an Google stattfindet, dann bedeutet dies nichts anderes, als dass an Google keine personenbezogenen Daten mehr übermittelt werden.

Damit entfällt aber nach dem Gesetz die Pflicht des § 13 TMG, über die Datenerhebung und -verwendung zu informieren und insoweit dann auch die Notwendigkeit einer Datenschutzerklärung. Eine Vereinbarung über eine Auftragsdatenverarbeitung kann dann ebenfalls nicht mehr geboten sein, weil diese ja gerade eine (externe) Verarbeitung personenbezogener Daten voraussetzt.

Die Forderung nach einer schriftlichen Vereinbarung zwischen dem Webseitenbetreiber und Google i.S.v. § 11 BDSG ist aber auch deshalb fragwürdig, weil die inhaltlichen Anforderungen des § 11 BDSG in dieser Konstellation schwerlich erfüllbar sind. Erforderlich wäre es nämlich, dass Google an die Weisungen des Webseitenbetreibers gebunden ist (§ 11 Abs. 3 BDSG) und, dass Google dem Webseitenbetreiber umfangreiche Prüf- und Kontrollmöglichkeiten einräumt.

Google hält insoweit auch schon eine standardisierte Vereinbarung bereit, die Google sogar unterschreiben und zurückschicken will. Diese Vereinbarung genügt m.E. aber den inhaltlichen Anforderungen des § 11 BDSG, insbesondere, was die Kontrollrechte angeht, nicht. Denn die Kontrollmöglichkeit wird von Google darauf beschränkt, dass der Webseitenbetreiber als Auftraggeber einen Prüfbericht eines Wirtschaftsprüfers einsehen kann.

Auch die Konstruktion erscheint unklar. Offenbar soll diese Vereinbarung nach der Ansicht Googles mit Google Deutschland getroffen werden, während die Datenverarbeitung aber in den USA stattfindet. Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der Vorschrift des § 11 BDSG.

Machen wir es also nicht komplizierter als es ist. Wenn mittels Google Analytics, bei Einsatz des sog. IP-Masking, keine personenbezogenen Daten mehr übermittelt werden – und genau das besagt die Pressemitteilung des Hamburger Datenschutzbeauftragten – dann sind insoweit auch keinerlei datenschutzrechtliche Anforderungen mehr zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG).

Die bayerische Aufsichtsbehörde hat mir übrigens bereits zu Beginn des Jahres, im Rahmen einer Mandatsbearbeitung, mitgteteilt, dass gegen den Einsatz von Google Analytics keine Einwände bestünden, wenn das von Google bereitgestellte Zusatztool zum sog. IP-Masking verwendet und zusätzlich eine ausreichende Datenschutzerklärung vorgehalten wird.

Ergänzend noch ein paar Links zum Thema:

Datenschutztheater (von Kris Köhntopp)

Google Analytics ist amtlich datenschutzkonform (Heise)

Die Diskussion zu meinem Post auf Google+

GOOGLE ANALYTICS IST DATENSCHUTZKONFORM NUTZBAR!? (von Laurent Meister)

Der sächsische Datenschutzbeauftragte Andreas Schurig hat in einem Prüfbericht an den sächsischen Landtag die massenhafte Erfassung von Mobilfunkdaten durch sog. Funkzellenabfragen anlässlich einer Demonstration in Dresden deutlich kritisiert. In dem Prüfbericht der Datenschutzbehörde heißt es u.a.:

StA und LKA haben damit mangelnden Respekt vor dem Fernmeldegeheimnis (Art. 10 GG, Art. 27 SächsVerf), der Versammlungsfreiheit (Art. 8 GG, Art. 23 SächsVerf), der Pressefreiheit (Art. 5 Abs. 1 GG; Art. 20 SächsVerf), der Religionsfreiheit (Art. 4 GG; Art. 19 SächsVerf) sowie den spezifischen Rechten von Abgeordneten und Rechtsanwälten gezeigt. Ich bewerte dieses Vorgehen als besonders schwerwiegend.

Diese Rüge richtet sich unmittelbar nur gegen die Staatsanwaltschaft und die Polizei. Kritisiert werden aber mittelbar natürlich auch die Gerichte, die diese rechtswidrigen Maßnahmen der TK-Überwachung z.T. genehmigt hatten.

Genau dies hat der Sächsische Richterverein nunmehr zum Anlass genommen, den Datenschutzbeauftragten zu attackieren und ihm gar einen Verstoß gegen den Gewaltenteilungsgrundsatz vorzuwerfen. Hintergrund ist der Umstand, dass die Gerichte – wegen ihrer verfassungsmäßig garantierten Unabhängigkeit – grundsätzlich nicht der Kontrolle des Datenschutzbeauftragten unterliegen.

Wenn man den Vorgang insgesamt betrachtet, dann wird man allerdings weniger eine Gefährdung des Gewaltenteilungsgrundsatzes erkennen, als vielmehr eine Gefährdung des Rechtsstaates ganz allgemein.

Der Datenschutzbeauftragte hat nur seine gesetzliche Aufgabe erfüllt und rechtswidrige Maßnahmen der Datenerhebung durch die Exekutive (Polizei und Staatsanwaltschaft) beanstandet. Dass man dies mittelbar auch als Kritik an den Gerichten betrachten kann, liegt in der Natur der Sache. Seine Kompetenzen hätte der Datenschutzbeauftragte aber nur dann überschritten, wenn er das Vorgehen der Gerichte (förmlich) beanstandet hätte, was er aber gerade vermieden hat.

Die Kritik der Richtervereinigung offenbart eine aus meiner Sicht rechtsstaatlich befremdliche Haltung. Denn letztlich wird versucht, richterliche Beschlüsse, die offensichtlich rechtswidrig sind, dadurch zu rechtfertigen, dass man dem Datenschutzbeauftragten eine unzulässige Einmischung und Kompetenzüberschreitung vorwirft.

Dem Datenschutzbeauftragten ist es aber nicht verwehrt, die Justiz zu kritisieren, obwohl er dies ohnehin so weit wie möglich vermieden hat. Nur förmliche Beanstandungen kann er keine aussprechen, was er aber auch nicht getan hat.

Der gesamte Vorgang um die massenhafte Erfassung und Auswertung von Mobilfunkdaten macht deutlich, dass in Sachsen, sowohl auf Ebene der Exekutive als auch der Justiz, erhebliche rechtsstaatliche Defizite vorhanden sind. Umso erfreulicher ist es, dass ein Datenschutzbeauftragter seine gesetzliche Aufgabe erfüllt und auch dem Landtag gegenüber in deutlicher Art und Weise berichtet. Chapeau Herr Schurig.

Das OLG Hamburg (Urteil vom 02.08.2011, Az.: 7 U 134/10) hatte sich mit der Frage zu befassen, ob die Veröffentlichung von Name, Anschrift und Geburtsdatum eines Geschäftsführers, im Zusammenhang mit einer kritischen Beerichterstattung über sein Unternehmen, zulässig ist, wenn die fraglichen Informationen dem irischen Handelsregister zu entnehmen sind.

Das Gericht hält die Veröffentlichung im Ergebnis für zulässig und argumentiert primär datenschutzrechtlich, wobei man sich maßgeblich auf die Vorschrfit des § 28 Abs. 2 BDSG stützt. Die Entscheidung des OLG Hamburg ist im Ergebnis sicherlich zutreffend, wenngleich man datenschutzrechtlich im konkreten Fall wohl eher auf § 29 BDSG hätte abstellen müssen,nachdem Beklagter der Betreiber eines Internet-Forums war. Dieser speichert primär zum Zwecke der Übermittlung an die Nutzer seines Forums. Zudem hätte sich angeboten,  die Frage eines Berichterstattungsprivilegs zu erörtern.

Das Landgericht München I hatte in einem ähnlich gelagerten Fall entschieden, dass der Gesetzgeber für solche Daten, die einem Handelsregister entnommen werden können, die grundsätzliche Abwägung zwischen Persönlichkeitsrecht und öffentlichem Informationsinteresse bereits zugunsten des Informationsinteresses getroffen hat.

In der heutigen Tagespresse wird darüber berichtet, dass Telefonanbieter Daten ihrer Kunden deutlich länger speichern würden, als bisher bekannt. Dies ergäbe sich, so z.B. die Berliner Zeitung, aus einer vertraulichen Aufstellung der Generalstaatsanwaltschaft München. Diese Aufstellung, die mir ebenfalls vorliegt, nennt sich „Leitfaden zum Datenzugriff“ und stammt vom Juni 2011, ist also relativ aktuell. Dieser Leitfaden dient der Information von Staatsanwaltschaften. Dort enthalten ist neben einer ausführlichen Darstellung der Befugnisse im Bereich der TK-Überwachung u.a. auch eine ausführliche Übersicht über die Speicherpraxis von Telefonabietern und Providern, die ich hier in Auszügen wiedergeben möchte. An der einen oder anderen Stelle ist man doch erstaunt, wie lange tatsächlich gespeichert wird. Von den großen Anbietern speichert u.a. Vodafone bedenklich lange, kleinere bzw. regionale Anbieter wie Hanse-Net oder M-Net können dies allerdings noch toppen.

Übersicht rückwirkende Verkehrsdaten der Netzbetreiber

T-Mobile D1
1 – 30 Tage: Alle Verkehrsdaten liegen vollständig vor
31 – 180 Tage:
– T-Mobile-Rufnummern: 80 Tage abgehend
– Prepaidkunden: 180 Tage
– Serviceprovider: 180 Tage

Vodafone (D2) Mobilfunkbereich
1- 7 Tage: Alle Verkehrsdaten liegen vollständig vor (inkl. IMSI-IMEI-Geo-Daten)
30 Tage: Alle gebührenpflichtigen ankommenden und alle abgehenden Verkehrsdaten liegen vollständig vor (inkl. IMSI, IMEI, Geo-Daten)
31 – 80 Tage: IMEI-Kennungen können bis zu diesem Zeitpunkt vollständig beauskunftet werden
81 – 180 Tage: Alle noch gespeicherten Verkehrsdaten liegen ohne IMEI, IMSI, Geo-Daten vor, mit der Folge, dass die abgehenden Daten zu IMEI-Kennungen ab diesemZeitpunkt nicht mehr festgestellt werden können.

Vodafone Festnetzbereich (Integration von Arcor)
92 Tage: Alle Verkehrsdaten liegen vollständig vor

E-Plus
90 Tage: Alle Verkehrsdaten liegen vollständig vor

Telefonica O2
1 – 7 Tage: Alle Verkehrsdaten liegen vollständig vor
8 – 30 Tage: Es liegen nur noch abrechnungsrelevante Daten vor. Eingehende Anrufe liegen nur vor, sofern sie von einem Fremdnetz kamen; rkehrsdaten von Serviceprovidern liegen vor

Deutsche Telekom AG (DTAG)
0 Tage: Ankommende Verkehrsdaten werden nicht gespeichert
3 Tage: Abgehende Verkehrsdaten liegen vollständig vor (auch Flatrate)
4 – 80 Tage: Speicherung ist abhängig vom Kundenwunsch.

HanseNet
180 Tage: Alle Verkehrsdaten liegen vollständig vor

M-Net
180 Tage: Alle Verkehrsdaten liegen vollständig vor

BT Germany
180 Tage: netzübergreifend beide Richtungen, ankommende Verbindungen können unvollständig sein

Übersicht Funkzellendaten der Netzbetreiber

T-Mobile D1
30 Tage (kommend) 30 Tage (gehend), Telefonie und SMS vollständig

Vodafone (D2)
7 Tage (kommend) 80 Tage (gehend), Telefonie und SMS vollständig

E-Plus
90 Tage (kommend) 90 Tage (gehend), Telefonie und SMS vollständig

Telefonica O2
7 Tage (kommend) 30 – 182 Tage (gehend), Telefonie und SMS vollständig

Übersicht Speicherfristen IP-Adressen Diensteanbieter

Web.de
30 Tage

1 & 1
60 Tage

GMX
Daten werden beim nächsten Login überschrieben

Übersicht Speicherfristen IP-Adressen Netzbetreiber

Freenet
Keine Speicherung

1 & 1
60 Tage (Non-Access-Provider; als VoIP Anbieter)

Kabel Deutschland
Keine Speicherung, bei aktuellem Login IP-Adressen Feststellung möglich; aber hoher technischer Aufwand

Net Cologne
4 Tage

Versatel Deutschland
3 Tage

Der Beck-Verlag bringt eine neue Zeitschrift zum Datenschutzrecht auf den Markt. Die Erstausgabe der Zeitschrift für Datenschutz (ZD) ist als Appetizer vollständig im Netz verfügbar. Darin beschäftigen sich u.a. Thomas Hören mit der datenschutzrechtlichen Zulässigkeit von Google Analytics und Antonie Knierim mit der Problematik der Kumulation der Vorratsspeicherung von TK- und Fluggastdaten.

In der zweiten Ausgabe der Zeitschrift wird übrigens ein Beitrag von mir zum Thema Ausschluss von Pseudonymen bei Google Plus und Facebook erscheinen.

Man kann sich natürlich die Frage stellen, ob eine weitere juristische Zeitschrift (zum Datenschutz) wirklich gebraucht wird.

Der Facebook-Button „Gefällt mir“ ist, sofern er extern eingebunden wird, seit kurzer Zeit der datenschutzrechtliche Aufreger.

Das hat der Heise-Verlag, wie ein paar andere auch, zum Anlass genommen, eine datenschutzfreundlichere Möglichkeit der Einbindung zu präsentieren. Während noch diskutiert wird, ob dem Heise-Verlag das tatsächlich gelungen ist, beschwert sich Facebook über so viel Datenschutzfreundlichkeit und macht einen Verstoß gegen Ziff. 8 seiner Nutzungsbedingungen geltend.

Facebook bringt also seine Nutzungsbedingungen in Stellung, um den eigenen Rechtsbruch aufrecht erhalten zu können. Darüber kann man schmunzeln. Man kann sich aber auch fragen, ob Heise Vertragspartner von Facebook ist, denn nur dann wäre der Verlag an die Nutzungsbedingungen gebunden. Aber selbst für diesen Fall bleibt die Frage offen, ob Facebook eine Einbindung des Like-Buttons in einer Art und Weise verlangen kann, durch die Facebook selbst gegen das Datenschutzrecht verstößt.

Facebook rudert dann aber doch wieder zurück, wie das letzte Update des Heise-Artikels belegt.

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel „Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?“.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:

• Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht? (Stefan Schmidt)
• Öffentlichkeitsarbeit einer Landesbehörde (Niko Härting)
• Stellungnahme zum „Facebook“-Boykott-Aufruf  vom 19. August 2011 durch die schleswig-holsteinische Datenschutzbehörde ULD (Strunk/Dirks)
• Arbeitspapier zu Facebooks Like-Button (Adrian Schneider)
• Bussgelder: Kommt das Facebook-Verbot? (Jens Ferner)
• Einbindung des Facebook „Like-Buttons“ nicht datenschutzkonform? (eigener Beitrag)

Der Ausschuss Informationsrecht des Deutschen Anwaltvereins hat zum Thema Cloud Computing, speziell aus datenschutzrechtlicher Sicht Stellung genommen.

Seine zentralen Thesen lauten:

• Cloud Computing mit Dienstleistern außerhalb der EU ist (rechtlich) derzeit nicht möglich.
• Wegen der strengen deutschen Regeln zur Auftragsdatenverabreitung ist Cloud Computing in der Regel selbst dann unzulässig, wenn die Datenverarbeitung in solchen Ländern stattfindet, die nach Ansicht der EU ein geeignetes Datenschutzniveau aufweisen.

Das bedeutet aber im Grunde nichts anderes, als, dass die Cloud-Dienste von amerikanischen Anbietern wie Apple oder Google nach deutschem Datenschutzrecht unzulässig sind und, dass eigentlich jegliches Cloud Computing bei denen die Server außerhalb der EU stehen, nicht den Anforderungen unseres Datenschutzrechts genügt.

Bereits der Bundesdatenschutzbeauftragten hatte in seinem letzten Tätigkeitsbericht zum Ausdruck gebracht, dass er Cloud Computing als globales Modell für nicht mit dem Datenschutzrecht vereinbar hält. Dass die Vorschriften über die Auftragsdatenverarbeitung bei entsprechender Auslegung auch das Hosting in Frage stellen können, habe ich bereits in einem früheren Beitrag erläutert.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat vor einigen Tagen alle Webseitenbetreiber in Schleswig-Holstein aufgefordert, den „Gefällt mir“-Button von ihren Webseiten zu entfernen und zudem Fanpages bei Facebook zu löschen.

Weil diese Aufforderung nicht nur im Netz hohe Wellen geschlagen hat, sondern auch beim ULD zu mit Sicherheit erbosten Rückfragen geführt hat, sieht sich die Datenschutzbehörde offenbar veranlasst, verschiedene Fragen zu beantworten.

Einige Kollegen sind der Ansicht, dass das ULD damit auch teilweise zurückrudern würde, nachdem man zunächst sogar die Ansicht vertreten hatte, dass die Datenverarbeitung bei Facebook nicht durch eine nach deutschem bzw. europäischem Recht wirksame Einwilligung legitimiert werden kann.

Mit der Frage, ob die juritsische Betrachtung des ULD zutreffend ist, hat sich Rechtsanwalt Stefan Schmidt im Rahmen eines Gastbeitrags für mein Blog beschäftigt.

Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation „Digitale Gesellschaft“ schreibt in ihrem Blog dazu:

Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

Update:
Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.