Internet-Law

Google+ hat nunmehr mehrfach die Profile solcher Nutzer gesperrt, die sich nicht mit ihrem tatsächlichen bürgerlichen Namen angemeldet haben. Ich bin gefragt worden, ob das Verhalten von Google nicht gegen § 13 Abs. 6 TMG verstößt. Danach muss der Diensteanbieter grundsätzlich gewährleisten, dass der Nutzer den Dienst auch anonym oder pseudonym nutzen kann.

Die Regelung wirkt auf den ersten Blick eindeutig. Aber nur solange man davon ausgeht, dass das Profil bei Google+ nicht selbst ein Telemedium im Sinne des TMG und/oder RStV darstellt. Eine solche Annahme halte ich zwar für gewagt, sie wird aber zu Twitter- und Facebook-Profilen durchaus, vielleicht sogar mehrheitlich, vertreten.

Daran unmittelbar schließt sich nämlich dann die Frage an, ob solche Profile den Impressumspflichten des TMG oder RStV unterliegen, was einer anonymen oder pseudonymen Nutzung entgegenstehen würde.

Wann Blogs einer Impressumspflicht unterliegen, habe ich an anderer Stelle dargelegt. Die weit verbreitete Ansicht, die meisten Menschen würden ja privat bloggen und unterlägen deshalb keiner Pflicht zur Anbieterkennzeichnung, ist in dieser Form jedenfalls nicht haltbar.

Denn nach § 55 Abs. 1 RStV benötigen nur solche Telemedien, die ausschließlich persönlichen und familiären Zwecken dienen, kein Impressum. Und das ist wesentlich enger als der Begriff privat. Wer also privat bloggt, twittert oder bei Google+ postet, um der Welt da draußen etwas mitzuteilen, der beschränkt sich nicht auf persönliche oder familiäre Zwecke. Andererseits ermöglicht es gerade Google+ mit der Einteilung in Kreise (Circles), eine Kommunikation auf den Familien- und Freundeskreis zu beschränken. Eine Nutzung ausschließlich für persönliche und familiäre Zwecke ist deshalb zumindest möglich und vorgesehen. Wie der Nutzer sein Profil tatsächlich nutzen will, weiß Google nicht vornherein und es ist auch nicht die Sache Googles dies festzulegen.

Vor diesem Hintergrund erscheint es mir rechtlich problematisch, wenn Google von jedem Nutzer verlangt, er müsse sich mit seinem korrekten bürgerlichen Namen anmelden und mit diesem auch in Google+ agieren.

Heute entstand auf Twitter und in Blogs eine gewisse Aufregung um die Meldung, dass der Bundesrat soziale Netzwerke erst ab einem Alter von 16 Jahren erlauben will. Hintergrund war eine etwas irreführende Meldung von internetworld, die sich mit einer geplanten Änderung des Telemediengesetzes befasst, die ich hier aus anderen Gründen schon kritisiert habe.

Worum geht es bei dieser Altersgrenze genau? Hier ist der relevante Wortlaut:

Der Diensteanbieter hat denNutzer bei der erstmaligen Erhebung von personenbezogenen Daten in allgemein verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar darüber zu unterrichten, welche Sicherheitseinstellungen zum Schutz der Privatsphäre des Nutzers voreingestellt sind. Der Diensteanbieter muss dem Nutzer die Einstellungsmöglichkeit bieten, dass das Nutzerkonto sowie sonstige vom Nutzer erstellte Inhalte mittels anderer, nicht in diesen Telemediendienst integrierter Telemediendienste, welche die Suche von Inhalten ermöglichen (externe Suchmaschinen), nicht gefunden oder ausgelesen werden können; der Diensteanbieter hat dies entsprechend Satz 1 voreinzustellen. Satz 3 gilt nicht, soweit der Zweck des Telemediendienstes bei objektiver Betrachtung die Auffindbarkeit oder Auslesbarkeit von Inhalten mittels externer Suchmaschinen umfasst. Einem Nutzer, der bei der Erhebung seiner personenbezogenen Daten ein Alter von unter 16 Jahren angegeben hat, darf eine Änderung der Voreinstellung nach Satz 3 erst ermöglicht werden, wenn er das Alter von 16 Jahren erreicht hat.

Die Grundidee besteht – neben wieder einmal neuen Belehrungspflichten – darin, die sozialen Netzwerke zu verpflichten, per default die strengsten Privacy-Einstellungen vorzugeben, die der Nutzer dann durch eine bewusste eigene Änderung lockern kann. Die Grundeinstellung soll dafür sorgen, dass weder Suchmaschinen noch Nichtmitglieder die Nutzeprofile sehen können. Und diese Lockerung soll erst möglich sein, wenn der Nutzer 16 Jahre alt ist.

Jetzt muss man ganz pragmatisch natürlich sehen, dass sich speziell Facebook bislang wenig um die Einhaltung des TMG und BDSG schert und man deshalb zunächst überlegen sollte, wie man das bestehende Vollzugsdefizit beseitigt. Denn immer neue Gesetze, die die großen Player wie Facebook ohnehin wieder ignorieren, verbessern die Position der Nutzer ja nicht.

Außerdem wird die Regelung in der Praxis bereits deshalb leerlaufen, weil die Nutzer dann eben im Zweifel angeben werden, dass sie 16 sind. Die geplante Regelung bringt aber eine interessante datenschutzrechtliche Problematik in Erinnerung. Für eine datenschutzrechtliche Einwilligung ist nach überwiegender Ansicht zwar keine Geschäftsfähigkeit (also Volljährigkeit), wohl aber eine ausreichende Einsichtsfähigkeit erforderlich, die Kindern regelmäßig fehlt. Deshalb können sich Kinder eigentlich schon nach geltendem Recht nicht selbständig in sozialen Netzen anmelden.

Das LawBlog und netzpolitik.org berichten über Glastotag, ein Projekt des britischen Glastonbury Musikfestivals, das eine Gesichterkennung der Festivalbesucher ermöglicht. Das funktioniert über (hochauflösende) Fotos der Festivalbesucher, die mithilfe der Gesichtserkennung von Facebook „getaggt“ werden. Die Gesichter werden so identifiziert und mit Facebook-Profilen verknüpft. Das soll im Falle von Glastonbury bereits bei 9.000 Personen funktioniert haben.

Ein ähnliches Projekt existiert auch in Deutschland für das Rheinkulturfestival in Bonn. Es handelt sich hierbei um ein Projekt des WDR, also einer öffentlich-rechtlichen Rundfunkanstalt.

Diese Konzepte sind, gemessen an deutschem – und vermutlich auch britischem – Recht, nicht zulässig. Die Verbreitung und Veröffentlichung hochauflösender Fotos auf denen Festivalbesucher erkennbar und identifizierbar sind, verstößt, sofern eine Einwilligung der abgebildeten Person nicht vorliegt, gegen § 22 KUG. Die Veröffentlichung solcher Fotos im Netz, verbunden mit der Aufforderung Personen zu „taggen“, stellt darüber hinaus eine Verletzung der Persönlichkeitsrechte der betroffenen Personen dar. Nachdem damit aber auch eine Verarbeitung und Speicherung personenbezogener Daten einhergeht und man solche Projekte wohl als Aufforderung zum Rechtsbruch betrachten muss, dürfte in Deutschland zudem eine Zuständigkeit der Datenschutzbehörden gegeben sein.

Update vom 13.07.2011:
Auch die Rockband U2 ermöglicht eine Gesichtserkennung der Besucher ihrer Konzerte. Für mich hat das bereits orwellsche Dimensione angenommen, während andere das offenbar für eher harmlos halten.

Nachdem in der Vergangenheit Skandale und Fragwürdigkeiten im Zusammenhang mit der Speicherung von Kundendaten bei der Zahlung mit EC-Karte bekannt wurden, soll die Speicherpraxis nach dem Willen einiger Landesdatenschutzbehörden nunmehr deutlich eingeschränkt werden.

Die Aufsichtsbehörden der Bundesländer konnten sich dabei aber offenbar nicht auf eine gemeinsame und einheitliche Vorgehensweise einigen. Die Aufsichtsbehörden von Bayern, Hessen und Nordrhein-Westfalen haben sich darauf verständigt, dass die Daten von Kunden, die mit EC-Karte und Unterschrift zahlen, künftig nur noch wenige Tage gespeichert werden dürfen. Dafür soll dann allerdings eine Einwilligung der Kunden in die Datenerhebung generell entbehrlich werden und nicht mehr eingeholt werden. Dieser Ansatz dürfte sich rechtlich auf § 28 BDSG stützen, ist aber unter den Landesbehörden umstritten, wie ein Bericht des NDR zeigt.

Über das mögliche Ende der Cookies durch eine neue Vorschrift im TMG, die im Zuge der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation geschaffen werden soll, hatte ich kürzlich berichtet.

Wie das mit dem Pop-Up-Gewitter in der praktischen Umsetzung aussehen würde, zeigt das Blog von David Naylor sehr anschaulich. Vielleicht kann man es sich ja so besser vorstellen.

Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

Unlängst habe ich hier die Frage erörtert, ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts zu betrachten sind oder nicht. Diese Frage hat weitreichende Konsequenzen im Hinblick auf die Speicherung und Verarbeitung von IP-Adressen, die Zulässigkeit von Statistik-Tools wie Google Analytics und das sog. Tracking ganz allgemein.

Dass sich die juristische Diskussion weiterhin im Fluss befindet und eine abschließende Klärung der Frage noch nicht absehbar ist, zeigt ein gerade in der Zeitschrift MultiMedia und Recht veröffentlichter Aufsatz von Krüger/Maucher mit dem Titel „IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis“ (MMR 2011, 433).

Der Beitrag weist zunächst darauf hin, dass die Auswertung der Rechtsprechung und Literatur zu diesem Thema ein diffuses Bild ergibt. Die Autoren bieten sodann einen guten Überblick über die bisher ergangenen Entscheidungen sowie zu den unterschiedlichen Ansichten im juristischen Schrifttum. Krüger/Maucher selbst vertreten, was der Aufsatztitel schon nahelegt, mit durchaus nachvollziehbarer Argumentation die Theorie vom relativen Personenbezug und sind der Ansicht, dass IP-Adressen in den Händen fast aller datenverarbeitenden Stellen keinen Personenbezug aufweisen.

Die Diskussion um die Frage, ob IP-Adressen personenbezogene Daten sind, wird mittlerweile nicht mehr ausschließlich von Juristen geführt, was man angesichts ihrer Bedeutung für den Datenschutz im Netz nur begrüßen kann.

Ich möchte dies zum Anlass nehmen, die rechtliche Streitfrage ausführlicher zu erläutern und die unterschiedlichen Positionen darzustellen. Ausgangspunkt soll die gesetzliche Regelung sein, die wir in § 3 Abs. 1 BDSG

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

und in Art. 2 a) der EU-Datenschutzrichtlinie

alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

finden.

Ein personenbezogenes Datum liegt also dann vor, wenn eine Person bestimmbar ist, wofür es nach der Richtlinie ausreicht, dass die Person indirekt identifiziert werden kann.

Was folgt hieraus für IP-Adressen? Bei dynamischen IP-Adressen kann zumindest mithilfe des Zugangsproviders ermittelt werden, welche Person Anschlussinhaber bzw. Kunde des Providers ist. Dass es sich hierbei nicht um ein theoretisches Szenario handelt, zeigen die Fälle des Filesharing, in denen in jedem Jahr mehrere hunderttausend Anschlussinhaber identifiziert und anschließend abgemahnt werden. Genügt das also, um von einem personenbezogenen Datum auszugehen?

In der juristischen Literatur und auch der bislang eher spärlichen Rechtsprechung besteht seit längerer Zeit Streit darüber, wann eine Person in diesem Sinne bestimmbar ist.

Die Theorie vom absoluten Personenbezug, die insbesondere von den Datenschutzbehörden von Bund und Ländern vertreten wird, geht davon aus, dass es ausreichend ist, wenn irgendein Dritter in der Lage ist, einen Personenbezug herzustellen. Dieser Ansicht zufolge sind IP-Adressen stets personenbezogene Daten, weil zumindest der Access-Provider diese Zuordnung vornehmen kann.

Die Theorie vom relativen Personenbezug nimmt demgegenüber an, dass es maßgeblich darauf ankommt, ob die Stelle, die die IP-Adresse speichert, in der Lage ist, eine (natürliche) Person zu ermitteln und zwar mithilfe der ihr selbst zur Verfügung stehenden Mittel. Das würde bedeuten, dass IP-Adressen nicht per se als personenbezogen zu betrachten sind. Der Betreiber einer Website, der IP-Adressen loggt, kann nämlich regelmäßig mit eigenen Mitteln keinen Personenbezug herstellen.

Aber selbst das ist nicht immer so eindeutig. Nehmen wir das Beispiel Google. Man wird auf den ersten Blick der Ansicht sein, dass ein Anbieter wie Google grundsätzlich nicht in der Lage ist, mithilfe der IP-Adresse eine konkrete Person zu identfizieren. Das sieht aber bereits dann anders aus, wenn ein Nutzer einen Google-Account unterhält, weil er einen der zahlreichen Google-Dienste (Mail, blogger.com, Analytics, AdWords) nutzt und zudem dort gerade eingeloggt ist. In diesem Fall kann Google den Personenbezug selbst herstellen.

In der juristischen Literatur gibt es für beide Ansichten eine Reihe von Vertretern, ein eindeutiges Übergewicht einer der beiden Meinungen ist nicht festzustellen. Je nachdem, was man liest, wird mal die eine und dann wieder die andere Auffassung als herrschend bezeichnet. In der Rechtsprechung sieht es ähnlich aus, wobei dort in der Tendenz eher die Ansicht vom relativen Personenbezug vorherrscht. In diesem Sinne haben sich z.B. das OLG Hamburg, das Landgericht Frankenthal (MMR 2008, 687), das Verwaltungsgericht Düsseldorf und das Amtsgericht München geäußert.

Welche Ansicht ist also richtig? Wenn man sich am Wortlaut der Richtlinie orientiert, dürfte mehr für die Annahme eines absoluten Personenbezugs sprechen. Denn nach Art. 2a) der Datenschutzrichtlinie ist eine Person schon dann als bestimmbar anzusehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer. Wenn man die IP-Adresse also als eine Art Kennnummer betrachtet, dann ermöglicht sie über den Umweg des Providers indirekt eine Identifizierung einer natürlichen Person. Diese Ansicht wird noch verstärkt durch Erwägungsgrund 26 der Datenschutzrichtlinie, der u.a. besagt:

Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.

Damit ist europarechtlich relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (Provider) den Personenbezug herstellen kann.

In einem der aktuellen juristischen Aufsätze zum Thema (Sachs, CR 2010, 547) wird die Rechtslage so zusammengefasst, dass sich die Frage anhand der Kriterien der juristischen Methodenlehre nicht eindeutig beantworten lässt, es aber zweifelhaft erscheint, ob die in Deutschland bislang vorherrschende Ansicht vom relativen Personenbezug aufgrund der Regelungen der Datenschutzrichtlinie und der Haltung der Aufsichtsbehörden aufrecht erhalten werden kann.

De lege ferenda halte ich das Ergebnis, dass eine IP-Adresse immer personenbezogen sein soll, aber nicht für sinnvoll, weil damit nach geltendem Recht streng genommen Serverlogs ganz generell und insgesamt unzulässig wären. Die notwendige Lösung besteht darin, internetspezifische Erlaubnistatbestände zu schaffen. Das wäre auch vor dem Hintergrund der Einführung von IPv6 wünschenswert, weil sich dadurch die Personenbeziehbarkeit noch erhöhen wird.

Neue Erlaubnistatbestände würden allerdings im Ergebnis zu einer Aufweichung des aber ohnehin nicht mehr praxistauglichen Datenschutzrechts führen. Bestrebungen in diese Richtung dürften deshalb auf erheblichen Widerstand insbesondere der Datenschutzbehörden stoßen. Aus diesem Grund werden wir wohl weiterhin mit einem Datenschutzrecht leben müssen, das die Onlinewirklichkeit nicht ausreichend abbildet.

Es ist schon beeindruckend, vielleicht sogar beängstigend, wie die Union mit den immergleichen Aussagen die Wiedereinführung der Vorratsdatenspeicherung fordert. Geboten wird hierbei der ewiggleiche Mix aus unrichtigen Tatsachenbehauptungen, Phrasen und Panikmache. An sachlichen Argumenten mangelt es zumeist.

Keine Ausnahme macht hier auch der Freisinger Anwaltskollege und CSU-Politiker Florian Herrmann der ins das bekannte Horn bläst. Behauptet wird wie üblich, das Ende der Vorratsdatenspeicherung hätte in Deutschland zu einer gefährlichen Sicherheitslücke geführt. Diese Aussage ist schon deshalb unsinnig, weil es die uneingeschränkte Vorratsdatenspeicherung keine drei Monate lang gegeben hat, bis das BVerfG die Begfugnisse durch eine erste Eilentscheidungen bereits deutlich eingeschränkt hat.

Dass die Vorratsdatenspeicherung zur Bekämpfung schwerster Kriminalität notwendig sei, ist auch ein der üblichen Behauptungen, die bislang allerdings noch niemand erhärten konnte. Fakt ist eher, dass die Polizeibeamten mit denen man spricht, der Meinung sind, dass mehr Fälle von Massenkriminalität, insbesondere Betrugsdelikte mit Internetbezug, mithilfe einer Vorratsdatenspeicherung aufgeklärt werden könnten. Den Bürgern erzählt man stattdessen gerne die Mär von der Bekämpfung des Terrorismus und der organisierten Kriminalität.

Die Politik, die eine Vorratsdatenspeicherung fordert und damit unsere Grundrechte massiv einschränken möchte, schuldet eine stichhaltige und auf belastbare Zahlen gestützte Begründung, warum die Vorratsdatenspeicherung tatsächlich notwendig sein soll. Auf diese Begründung warte nicht nur ich bislang vergeblich. Die Diskussionsführung, gerade der Union, ist leider nicht von nachvollziehbaren Sachargumenten geprägt. Wer ständig behauptet, dass seit dem Wegfall der Vorratsdatenspeicherung viele Straftaten nicht mehr verfolgt werden könnten, die vorher aufgeklärt worden sind, muss dies belegen können.

Warum die Vorratsdatenspeicherung für den einzelnen Bürger so bedenklich ist, kann man an dem Beispiel von Malte Spitz sehr anschaulich nachvollziehen. Weshalb die Vorratsdatenspeicherung aus Sicht der Bürgerrechte ganz generell abzulehnen ist, habe ich bereits mehrfach dargelegt.

Die Webserver des Landes Niedersachsen sperren laut einer Heise-Meldung Anonymisierungsdienste aus.

Der technische Dienstleister, der Landesbetrieb für Statistik und Kommunikationstechnologie, räumt ein, eine Sperrliste für bestimmte Anonymisierungsdienste einzusetzen und hält dies aus Gründen der IT-Sicherheit für geboten.

In dem Beitrag von Heise-Online wird bereits angedeutet, dass diese Praxis in Konflikt mit der gesetzlichen Regelung des Telemediengesetzes stehen könnte. Nach § 13 Abs. 6 TMG hat der Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

Die juristisch interessante Frage ist die, ob hieraus eine Verpflichtung des Diensteanbieters folgt, den Einsatz von Anonymisierungsdiensten wie Tor zu tolerieren, weil der Nutzer nur damit die vom Gesetz gewünschte Pseudonymität selbst herstellen kann. Eine Pseudonymisierung kann nur durch den Nutzer oder durch einen Dritten vorgenommen werden und nicht vom Diensteanbieter. Nach der Legaldefinition in § 3 Abs. 6a BDSG bedeutet Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Diese Pseudonymisierung führt der Betreiber des Anonymisierungsdienstes durch. Nach der Vorstellung des Gesetzgebers – zum TDDSG, das die fragliche Vorschrift bereits enthielt – soll der Nutzer ein Pseudonym verwenden dürfen, das verhindert, dass man auf seine wahre Identität schließen kann (BT-Drs. 13/7385, 23).

Indem der Gesetzgeber die Verwendung von Pseudonymen ausdrücklich ermöglichen will, folgt daraus auch, dass der Diensteanbieter diese Pseudonymisierung grundsätzlich zu respektieren hat. Dies gilt umso mehr für ein staatliches Informationsangebot. Es ist auch nicht ersichtlich, weshalb die Pseudonymisierung gerade in dem konkreten Fall technisch unzumutbar sein sollte.