Internet-Law

Die Abendzeitung berichtet darüber , dass die Stadt München KFZ-Kennzeichen von ordnungsgemäß geparkten Fahrzeugen notieren lässt und zwar durch eine Fremdfirma. Das soll die Stadt auf Nachfrage hin auch bestätigt haben. Die AZ zitiert den Sprecher des städtischen Planungsreferats mit den Worten:

„Die Kennzeichen der parkenden Autos werden von einer Firma, mit der wir einen Vertrag haben, registriert. So lässt sich im Nachhinein feststellen, welche Kfz-Bewegungen stattgefunden haben.“

KFZ-Kennzeichen sind personenbezogene Daten, zumindest für Behörden, die in der Lage sind, den Fahrzeughalter zu ermitteln. Als rechtliche Grundlage der Maßnahme betrachtet die Stadt München Art. 56 Abs. 2 BayGO i.V.m. Art. 16 BayDSG.

Art. 56 Abs. 2 der Gemeindeordnung besagt aber nur, dass die Gemeinden für einen ordnungsgemäßen Geschäftsgang zu sorgen haben und enthält keinerlei Gestattungen für eine Datenerhebung. Nach § 16 BayDSG dürfen Daten überhaupt nur dann erhoben werden, wenn ihre Kenntnis zur Erfüllung der in der Zuständigkeit der erhebenden Stelle liegenden Aufgaben erforderlich ist. Darüber hinaus müssen Daten aber beim Betroffenen offen mit seiner Kenntnis erhoben werden, sofern sie nicht aus allgemein zugänglichen Quellen stammen.

Da die Stadt die Daten nicht beim Betroffenen mit seiner Kenntnis erhebt, scheint die Stadt davon auszugehen, dass man aus einer allgemein zugänglichen Quelle erhebt, wenn ein Auto auf der Straße parkt.

Diese Rechtsansicht würde zu Ende gedacht dazu führen, dass Behörden im öffentlichen Raum beliebig Daten erheben könnten, auch wenn es keine Anhaltspunkte für einen Rechtsverstoß oder eine Gefahr für die öffentliche Sicherheit und Ordnung gibt. Genau das, sollen die Datenschutzgesetze aber verhindern.

Die Datenerhebung durch die Stadt München ist ein Fall für den Bayerischen Datenschutzbeauftragten, der hier einschreiten sollte.

Es kommt wohl nicht von ungefähr, dass Netzpolitik bzw. die dazugehörige Gesetzgebung in Deutschland von Ausschüssen für Agrarpolitik und Verbraucherschutz bestimmt wird. Die vom Bundesrat auf Vorschlag des besagten Ausschusses bereits beschlossenen Änderungen des Telemediengesetzes bewirken das prinzipielle Ende von Cookies oder wahlweise neue Pop-Up-Gewitter (§ 13 Abs. 8 TMG neu).

Nach dem geplanten §13a TMG sollen die Anbieter, insbesondere sozialer Netze, verpflichtet werden, die Voreinstellungen auf die „höchste Sicherheitsstufe gemäß dem Stand der Technik“ zu setzen. Was von dieser geplanten Neuregelung zu halten ist, habe ich bereits vor einiger Zeit erläutert.

„Facebook ist gefährlich“ und „Der Rat des Juristen kann nur sein, Facebook zu meiden“, schreibt Prof. Thomas Hoeren in einem Beitrag für den Deutschen Anwaltsspiegel. Die Begründung die er liefert, enttäuscht dann allerdings doch etwas.

Hoeren überrascht schließlich aber doch noch und zwar mit der durchaus gewagten These, dass deutsches Datenschutzrecht für Facebook nicht gelten würde. Hier hätte bereits die Lektüre der Facebook-Richtlinien (Statement of Rights And Responsibilities) weiter geholfen. Denn danach gilt für Streitigkeiten zwischen Facebook und seinen deutschen Nutzern deutsches Recht.

Unabhängig davon, wäre man aber auch nach der von Hoeren zitierten Vorschrift des § 1 Abs. 5 BDSG zu diesem Ergebnis gelangt. Denn auch wenn Facebook eine Niederlassung in Irland unterhält, soll das Nutzungsverhältnis nach dem Willen von Facebook mit der US-Mutter bestehen. Und für diesen Fall ordnet § 1 Abs. 5 S. 2 BDSG die Geltung des BDSG an.

Facebook hat gerade damit begonnen, ein Gesichtserkennungs-Feature einzubauen. Wenn Facebooknutzer neue Fotos hochladen, gleicht eine Software diese automatisch mit anderen Fotos ab. Wenn hierbei das Gesicht einer Person erkannt wird, das auch auf dem hochzuladenden Foto zu finden ist, schlägt Facebook dem Nutzer vor, diese Person zu markieren („taggen“). Damit werden letztlich Fotos mit den Namen der abgebildeten Personen beschriftet.

Dieser Vorgang beinhaltet eine Verarbeitung und Nutzung personenbezogener Daten. Denn der Bezug zwischen der abgebildeten Person und ihrem Namen wird erst durch die Gesichtserkennungssoftware hergestellt und anschließend durch die Markierung auch öffentlich gemacht. Eine solche Verarbeitung personenbezogener Daten erfordert nach dem Bundesdatenschutzgesetz grundsätzlich die Einwilligung der betroffenen Person. Ganz unabhängig davon, dass natürlich auch das Hochladen von Fotos, auf denen fremde Personen abgebildet sind, rechtlich nur dann zulässig ist, wenn die abgebildeten Personen in die Veröffentlichung eingewilligt hat (§ 22 KUG).

Das grundsätzliche Problem der Vorgehensweise von Facebook besteht darin, dass Facebook diese Funktion bei allen Nutzern standardmäßig aktiviert hat. Wer sich nicht erkennen und markieren lassen will, muss diese Funktion deshalb in seinen Einstellungen deaktivieren. Nach deutschem und europäischem Datenschutzrecht wäre allerdings die umgekehrte Vorgehensweise erforderlich. Facebook hätte diese neue Funktion also per Default deaktiviert halten müssen. Es ist dann den Nutzern überlassen, diese Funktion ausdrücklich zu aktivieren. Aber auch in diesem Fall müsste Facebook den Nutzern die Funktion erläutern und auch erklären, welche konkreten Daten dadurch kombiniert und gespeichert werden. Denn der Betroffene muss auf den Zweck der Datenerhebung und -verabreitung hingewiesen werden (§ 4a BDSG).

Nach geltender Rechtslage könnte eine solche Gesichtserkennung nur mithilfe eines sauberen Opt-In-Verfahrens datenschutzkonform ausgestaltet werden.

Richard Gutjahr hat kürzlich einen vielbeachteten Blogtext mit dem Titel „Die Anti-Terror-Lüge“ veröffentlicht. Soweit sich neben den zustimmenden auch kritische Stimmen zu Wort gemeldet haben, beißen diese sich an Missverständnissen oder Ungenauigkeiten im Detail fest, ohne sich mit der eigentlichen Kernaussage Gutjahrs zu beschäftigen.

Anlass des besagten Blogbeitrags war eine Podiumsdiskussion die von Gutjahr moderiert wurde und auf der u.a. der Bundesdatenschutzbeauftragte Peter Schaar, der Vize-Präsident des BKA Jürgen Stock und der Verfassungsrichter Peter M. Huber kontrovers diskutiert haben. Das Thema lautete: Datensammelwut vs. Datenschutz – Brauchen wir eine neue Datenschutzpolitik? In der Diskussion ging es zunächst primär um das Für und Wider der Vorratsdatenspeicherung. Die sog. Anti-Terror-Gesetze wurden nur am Rande erwähnt.

Auffällig war – und dies dürfte Gutjahr zu dem Titel „Die Anti-Terror-Lüge“ veranlasst haben – dass Jürgen Stock vom BKA sich sogleich für ein altbekanntes Argumentationsmuster entschieden hat. Zur Rechtfertigung der Vorratsdatenspeicherung  hat der Vizepräsident des Bundeskriminalamts nämlich ohne große Umschweife darauf verwiesen, dass diese zur Bekämpfung des Terrorismus, der Kinderpornographie und der organisierten Kriminalität erforderlich sei. Eine Argumentation die so vorhersehbar wie falsch ist.

Wenn man mit Beamten des BKA über die Vorratsdatenspeicherung spricht, wozu ich beim Netzpolitischen Kongress der Grünen Gelegenheit hatte, dann ist zumeist die Rede davon, dass aufgrund des fehlenden Ermittlungsansatzes IP-Adresse Betrugsstraftaten, und die Fälle des Phishing – man spricht im Behördenjargon von Identitätsdiebstahl – nicht mehr aufzuklären seien. Ein Blick in die aktuelle Polizeiliche Kriminalstatisitik bestätigt dies. Ca. 82 % der Internetdelikte sind Betrugsstraftaten, wobei die Aufklärungsquote, auch ohne Vorratsdatenspeicherung, deutlich höher ist, als im Offline-Bereich.

Die Anti-Terror-Lüge besteht also u.a. darin, dass die Vorratsdatenspeicherung mit der angeblichen Notwendigkeit der Bekämpfung des Terrorismus begründet wird, obwohl man weiß, dass sie im Kern anderen Zwecken dient.

Auf der besagten Podiumsdiskussion hat der Vizepräsident des BKA auf die Frage, ob man sich auch bei den Anti-Terror-Gesetzen vom Gesetzgeber noch Erweiterungen wünsche, übrigens geantwortet, dass das Amt diesbezüglich derzeit keine konkreten Wünsche habe. Was wiederum Peter Schaar zu der Bemerkung veranlasst hat, dass in diesem Bereich ohnehin schon alle Wünsche erfüllt worden seien.

Noch ein paar Anmerkungen zu den sog. Anti-Terrorgesetzen, über deren Evaluierung ich kürzlich bereits gebloggt hatte. Die Anti-Terror-Gesetze haben vor allen Dingen zusätzliche Eingriffsbefugnisse zugunsten der Geheimdienste und des BKA geschaffen. Diese zusätzlichen Befugnisse sind aber keineswegs auf die Bekämpfung des Terrorismus beschränkt.
Aufgrund der Anti-Terror-Befugnisse, wurden nach einem Bericht der Bundesregierung z.B. auch die Anschlussinhaber zu 40 IP -Adressen ermittelt, weil sie „völkerverständigungswidrige Musiktitel“ im Internet zum Download angeboten haben. Eine so verstandene Terrorismusbekämpfung erweist sich also als ein sehr weites Feld.

In diesem Bereich muss man außerdem wissen, dass die Dienste insgesamt über mehr Überwachungsbefugnisse verfügen, als die regulären Polizei- und Sicherheitsbehörden. Da dies zu einer stärkeren Gefährdung der Grundrechte führt,  müssten sie eigentlich auch einer stärkeren Kontrolle unterliegen. Das Gegenteil ist allerdings der Fall. Die richterliche und auch parlamentarische Kontrolle der Tätigkeit der Dienste schwankt von magelhaft bis nicht vorhanden. Der Gesetzgeber schafft damit praktisch rechtsfreie Räume in denen die Dienste unkontrolliert agieren können.

Wenn man die anderen neuen Eingriffsbefugnisse, die der Gesetzgeber in den letzten 10 Jahren geschaffen hat – die allerdings nicht alle der Überprüfung durch das BVerfG standgehalten haben – hinzu zählt, ergibt sich unter dem Strich eine bedenkliche Beschneidung der Bürgerrechte. Diese Entwicklung wird verstärkt durch Maßnahmen auf europäischer Ebene wie z.B. dem Swift-Abkommen, das den USA den Abruf von Bankdaten europäischer Bürger erlaubt.

Wer vor diesem Hintergrund einem Autor wie Richard Gutjahr eine ungenaue oder gar falsche Darstellung vorwirft, muss sich die Frage stellen, wie man dann das nennen soll, was der Innenminister so von sich gibt.

Manche Pressemeldungen sind irritierend. Die Internet Word meldet, der bayerische Datenschutzbeauftragte Thomas Kranig hätte Microsoft die Kamerafahrten für den umstrittenen Dienst Streetside jetzt erlaubt.

Ganz abgesehen davon, dass Herr Kranig nicht der bayerische Landesdatenschutzbeauftragte ist, suggeriert diese Meldung, der Start von Microsofts Pendant zu Google Street View sei in irgendeiner Form von der Genehmigung der Datenschutzaufsicht abhängig. Das ist allerdings nicht der Fall.

Es gibt vielmehr keine rechtliche Grundlage dafür, Dienste wie Street View oder Streetside zu untersagen, geschweige denn, von einer vorherigen Genehmigung abhängig zu machen.  Das ist natürlich auch den Datenschutzbehörden bewusst. Dennoch droht man mit Verfügungen und verlangt im konkreten Fall von Microsoft, dass den Bürgern ein Vorabwiderspruchsrecht eingeräumt wird, wofür es allerdings ebenfalls an einer rechtlichen Grundlage mangelt. Die Datenschutzbehörden versuchen vielmehr öffentlichen und politischen Druck aufzubauen, in der Hoffnung, dass die Unternehmen, weil sie öffentliche Diskussion fürchten, dann einlenken werden.

Die Rechtsgrundlage, auf die Kranig seine Drohung mit einer Verbotsverfügung wohl stützt, dürfte die relativ neue Vorschrift des § 38 Abs. 5 BDSG sein.

Danach ist aber selbst bei gravierenden Datenschutzverstößen eine sofortige Untersagung nicht vorgesehen, sondern vielmehr ein abgestuftes Verfahren durchzuführen. In materieller Hinsicht fehlt es aber vor allen Dingen an einem schwerwiegenden Verstoß. Beim Fotografieren von Häuserfassaden und Straßenzügen ist vielmehr ganz generell fraglich, ob überhaupt eine Erhebung und Verarbeitung personenbezogener Daten stattfindet.

Heute beginnt die Volkszählung (Zensus 2011) und sie stellt anders als noch in den achtziger Jahren keinen großen Aufreger mehr dar. Wie diese aktuelle Volkszählung funktioniert, habe ich in einem älteren Beitrag schon vor einem Jahr erläutert.

Dass das Bundesverfassungsgericht mehrere Verfassungsbeschwerden gegen den Zensus 2011 noch nicht einmal zur Entscheidung angenommen hat, belegt m.E. einen Paradigmenwechsel in der verfassungsrechtlichen Bewertung. Denn die aktuelle Volkzählung ist aufgrund des Umstandes, dass sie vorwiegend registergestützt erfolgt, nicht minder grundrechtsintensiv als vor 30 Jahren und gemessen an den Kriterien, die im Volkszählungsurteil postuliert worden sind, auch verfassungsrechtlich nicht weniger problematisch.

Im Volkszählungsurteil heißt es u.a.:

“Auch die Übernahme sämtlicher Daten aus bereits vorhandenen Dateien der Verwaltung ist keine zulässige Alternative zu der vorgesehenen Totalzählung. Denn die Nutzung von Daten aus verschiedenen Registern und Dateien würde voraussetzen, daß technische, organisatorische und rechtliche Maßnahmen getroffen werden, die es erst erlauben, diese Daten, bezogen auf bestimmte Personen oder Institutionen, zusammenzuführen. Eine solche Maßnahme wäre zum Beispiel die Einführung eines einheitlichen, für alle Register und Dateien geltenden Personenkennzeichens oder dessen Substituts. Dies wäre aber gerade ein entscheidender Schritt, den einzelnen Bürger in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren. Die Verknüpfung vorhandener Dateien wäre danach auch nicht das mildere Mittel.”

Genau das, was in dieser Textpassage des Volkszählungsurteils beschrieben ist, passiert gerade. Für jede Anschrift, jedes Gebäude, jede Wohnung, jeden Haushalt und jede Person wird im Rahmen des Zensus 2011 eine Ordnungsnummer vergeben und geführt. Unter dieser Ordnungsnummer werden Daten aus verschiedenen Registern zusammengeführt und über Jahre hinweg gespeichert.

Das aktuelle Gesetz mag eine eindeutigere und engere Zweckbindung haben, als in den achtziger Jahren. Denn der Gesetzgeber hat natürlich versucht, die alten Fehler zu vermeiden. Die Missbrauchsgefahr bleibt allerdings bestehen und auch die Gefahr der (politischen) Diskussion darüber, dass man die so schön zusammengeführten Daten doch auch gut für andere Zwecke gebrauchen könnte.

Die Schriftstellerin und Juristin Juli Zeh hat der taz gesagt, dass sie die Auskunft verweigern und lieber ein Bußgeld bezahlen wird, sollte sie zu der Minderheit gehören, die tatsächlich befragt wird. Vielleicht sollte man sich insoweit allerdings bewusst machen, dass nicht die unmittelbare Befragung das Hauptproblem darstellt, sondern die unsichtbare Zusammenführung von Daten ohne Befragung des Bürgers. Die Eingriffsintensität einer registergestützten Volkszählung ist deutlich höher als bei einer solchen mittels Fragebogen. Und dieser registergestützten Volkszählung kann sich niemand mehr verweigern, nachdem das BVerfG sämtliche Verfassungsbeschwerden gar nicht erst zur Entscheidung angenommen hat.

Die Telekom ist nach einer neuen Entscheidung des EuGH (Urteil vom 05.05.2011, Az.: C?543/09) verpflichtet, alle Daten von Teilnehmern, die einer Veröffentlichung zugestimmt haben, an Auskunftsdienste wie GoYellow herauszugeben.

Die Bundesnetzagentur hatte die Deutsche Telekom verpflichtet, an GoYellow und Telix nicht nur Daten von ihren eigenen Kunden, sondern auch Daten, die ihr von Teilnehmern dritter Telefondienstanbieter vorliegen (Fremddaten), zur Verfügung zu stellen, auch wenn diese Telefondienstanbieter oder deren Teilnehmer diese Teilnehmerdaten nur von der Deutsche Telekom veröffentlicht wissen wollten.

Die Telekom hat gegen den Beschluss der Bundesnetzagentur Klage erhoben und u.a. vorgetragen, eine Weitergabepflicht für Fremddaten würde gegen die Bestimmungen der Universaldienstrichtlinie verstoßen. Das Bundesverwaltungsgericht hat die Frage an den EuGH vorgelegt, der nunmehr entschieden hat, dass ein Verstoß gegen die Universaldiensterichtlinie nicht vorliegt.

Daneben geht der EuGH davon aus, dass der Beschluss der Bundesnetzagentur auch mit der Datenschutzrichtlinie für elektronische Kommuniaktion (2002/58/EG) vereinbar ist.

Wer also einmal einer Weitergabe seiner Teilnehmerdaten an ein öffentliches Teilnehmerverzeichnis (Telefonbuch) zugestimmt hat, muss damit rechnen, dass diese Daten anschließend auch an andere Auskunftsdienste weitergegeben werden, weil hierfür nach Ansicht des EuGH keine erneute datenschutzrechtliche Einwilligung erforderlich ist.

Dies führt letztlich allerdings auch dazu, dass einmal für Auskunfsdienste freigegebene Daten relativ frei weiterverwendet werden und, dass veraltete Daten über längere Zeit hinweg in verschiedensten Verzeichnissen verbleiben.

Das Kammergericht hat mit Urteil vom 29.04.2011 (Az.: 5 W 88/11) eine Entscheidung des Landgerichts Berlin bestätigt, wonach die Einbindung des Like-Buttons von Facebook nicht wegen Verstoß gegen die datenschutzrechtliche Vorschrift des § 13 TMG wettbewerbswidrig ist.

Das Kammergericht geht allerdings anders als das Landgericht Berlin davon aus, dass die Vorschrift des § 13 TMG eine sog. Marktverhaltensregelung im Sinne von § 4 Nr. 11 UWG darstellen kann, allerdings nur dann, wenn die Verletzungshandlung die wettbewerbsbezogene Schutzfunktion des § 13 TMG beeinträchtigt. Und das verneint das KG im konkreten Fall.

Die Begründung des Senats klingt zunächst nach höherbesoldeter Einsicht, erweist sich aber bei näherer Betrachtung als unzutreffend. Insbesondere die Bezugnahme auf eine neuere Entscheidung des BGH, wonach steuerliche Vorschriften keine Marktverhaltensregeln darstellen, überzeugt nicht. Der BGH geht nämlich in dieser Entscheidung davon aus, dass nur dann, wenn der Gesetzesverstoß nicht mit dem Marktverhalten zusammenfällt, eine wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich ist. Das verneint er für steuerrechtliche Vorschriften, denn diese betreffen nicht das Marktverhalten, sondern regeln lediglich das Verhältnis zwischen dem Hoheitsträger und dem Steuerpflichtigen.

Diese Betrachtung ist auf datenschutzrechtliche Vorschriften aber nicht übertragbar. Denn datenschutzrechtliche Normen regeln gerade auch das Verhältnis eines Unternehmens zu seinen (potentiellen) Kunden. Beide sind deshalb, jedenfalls seit der letzten Neufassung des UWG, Marktteilnehmer. Gänzlich anders ist dies beim Steuerpflichtigen und den Finanzbehörden, die sich nicht als Marktteilnehmer gegenüber stehen.

Da datenschutzrechtliche Vorschriften also schon das Verhältnis von Marktteilnehmern regeln, kommt es nicht mehr darauf an, ob sie daneben noch eine wettbewerbsbezogene Schutzfunktion erfüllen.

Die Begründung des Kammergerichts erweist sich somit als nicht tragfähig.

Ähnlich sieht das auch Jens Ferner.

Die sog. Digitale Gesellschaft, die ich zu ihrer Gründung hier bereits kritisiert hatte, tritt soweit ersichtlich, erstmals mit inhaltlichen Forderungen zum Datenschutz an die Öffentlichkeit und meint, Datenschutzverstöße müssten weh tun. Von den vier Forderungen der Digitalen Gesellschaft habe ich mir zwei näher angeschaut.

Gefordert wird u.a. eine Beweislastumkehr für solche Fälle, in denen ein Unternehmen die Datensicherheit vernachlässigt hat. Man hat dabei ersichtlich den aktuellen Sony-Fall vor Augen. Die Forderung der Digitalen Gesellschaft lautet konkret:

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat. (Risikoverschiebung)“

Wie das rechtlich umgesetzt werden soll, bleibt allerdings unklar. Man muss sich vor Augen führen, dass es hier vor allen Dingen um die Frage der Kausalität geht. Soll also eine Kausalitätsvermutung geregelt werden? Die Forderung erscheint mir inhaltlich nicht präzise durchdacht und formuliert zu sein.

Des weiteren wird gefordert, im Datenschutzrecht Sammelklagemöglichkeiten für Verbraucher einzuführen.

Das Institut der Sammelklage ist dem deutschen Recht bislang fremd. Seine Einführung müsste deshalb für alle möglichen Bereiche sorgfältig geprüft werden. Weshalb Sammelklagen allerdings gerade im Datenschutzrecht ein sonderlich effektives Instrument darstellen sollten, erschließt sich mir nicht. Insoweit wäre zunächst die Frage zu stellen, welche materiellen Ansprüche/Forderungen mit einer solchen Sammelklage verfolgt werden sollten bzw. typischerweise verfolgt werden könnten. Die Durchsetzung von Schadensersatzforderungen dürfte bereits deshalb schwierig sein, weil jeder einzelne Kläger nachweisen müsste, ob und in welcher Höhe ein Schaden tatsächlich eingetreten ist. In Fällen wie bei Sony wird es nur bei den wenigsten Betroffenen zu einem Schaden kommen.

Wenn Datenschutzverstöße stärker weh tun sollten, dann wäre es vor allen Dingen sinnvoll, den Bußgeldrahmen des § 43 Abs. 3 BDSG deutlich auszuweiten und anschließend in Fällen gravierender Verstöße großer Unternehmen auch zügig empfindliche Bußgelder zu verhängen.