Internet-Law

Der Hamburger Datenschutzbeauftragte hat heute seine Website bei „hamburg.de“ vom Netz genommen und reagiert damit offenbar auf Kritik, die ihren Ausgang in diesem Blog hatte. Es erstaunt mich dann doch, dass ein Blogbeitrag von mir solche Wellen schlägt.

Ein Leser meines Blogs hat gestern in einem Kommentar geschrieben, dass die unter „datenschutz-hamburg.de“ aufrufbare Website des Hamburger Datenschutzbeauftragten, der derzeit gegen Google Analytics vorgeht, selbst Tracking-Technologie einsetzt und dort kräftig getrackt würde.

Diese Aussage war zumindest insoweit nachvollziehbar, als das Firefox Plug-In „Counterpixel“ anzeigt, dass dort das IVW-Pixel zum Einsatz kommt. Dies vermutlich deshalb, weil der Auftritt des Datenschutzbeauftragten Teil von „hamburg.de“ ist und dort das Statistik-Tool der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW) eingesetzt wird, das übrigens von vielen großen deutschen Websites genutzt wird.

Das Programm der IVW ist freilich, wie Google Analytics auch, ein Tracking-Tool, das Daten über die Besucher der Website sammelt und an die IVW weiterleitet, u.a. auch die IP-Adressen der Seitenbesucher. Und wenn man einem Artikel von golem.de glauben darf, werden auch von der IVW IP-Adressen vollständig, ohne Anonymisierung erfasst und gespeichert, weshalb hiergegen grundsätzlich dieselben datenschutzrechtlichen Bedenken bestehen müssen wie gegen Analytics.

Wenn Datenschutzbehörden schon offensiv die Auffassung vertreten, dass Tracking-Tools datenschutzrechtlich bedenklich sind, dann sollten sie sie zumindest nicht auf ihren eigenen Websites benutzen. Es zeigt sich damit aber auch, dass ein datenschutzkonformer Webauftritt gar nicht so einfach ist, auch nicht für einen Landesdatenschutzbeauftragten.

Die Diskussion kann ohnehin nicht auf Google beschränkt bleiben, sondern muss sich auf Tracking-Technologien insgesamt erstrecken.

Update:
Wenn man die Datenschutzerklärung zum Internetangebot des hanseatischen Datenschutzbeauftragten und zu „hamburg.de“ durchliest, fällt auf, dass der „IVW-Pixel“ nicht erwähnt wird, während stattdessen darauf hingewiesen wird, dass IP-Adressen an einen anderen Statistikanbieter (Sitestat) übermittelt werden. Dem Programm Sitestat des Anbieters Nedstat bescheinigt die Xamit-Studie allerdings ebenfalls, dass eine legale Nutzung nach deutschem Datenschutzrecht nicht möglich ist. Dieser Hinweis in der Datenschutzerklärung könnte allerdings veraltet sein, nachdem dort sogar auf die Verwendung von Facebook Social Plugins hingewiesen wird. Diese hat „hamburg.de“ allerdings nach kurzer Zeit wegen datenschutzrechtlicher Bedenken wieder runter genommen.

Wir sehen hier ein schönes Beispiel dafür, wie sich der Datenschutz selbst ad absurdum führt.

Der Hamburger Datenschutzbeauftragte Johannes Caspar vertritt weiterhin die Ansicht, dass das Statistik-Tool Google Analytics nicht den Anforderungen des deutschen Datenschutzrechts genügt. Casper gibt an, er habe deshalb die Gespräche mit Google abgebrochen und wolle Bußgelder gegen Unternehmen verhängen, die Analytics weiterhin einsetzen und erwäge auch einen Musterprozess.

Google verweist demgegenüber darauf, dass man speziell nach den jüngsten Änderungen, also der Einführung des sog. IP-Masking und von Browser-Erweiterungen, die die Übermittlung von IP-Adressen an Google unterbinden sollen, den Forderungen des Düsseldorfer Kreises nachgekommen sei und man im übrigen auch die Rückmeldung von europäischen Datenschutzstellen hätte, dass Google Analytics den Vorgaben des EU-Datenschutzrechts entsprechen würde.

Dass der Hamburger Datenschutzbeauftragte die Ansicht aller deutschen Landesdatenschutzbehörden wiedergibt, darf bezweifelt werden. Mir liegt ein Schreiben des Bayerischen Landesamts für Datenschutzaufsicht aus dem Dezember 2010 vor, in dem bestätigt wird, dass mit dem Einsatz des IP-Masking eine der wesentlichen Forderungen der Datenschutzafsicht erfüllt wird und, dass man in diesem Fall gegen den Einsatz von Google Analytics keine Einwände mehr habe, sofern auf den Einsatz hingewiesen wird (§ 13 Abs. 1 TMG), dem Nutzer ein Widerspruchsrecht gegen die Erstellung von pseudonymen Nutzerprofilen eingeräumt wird (§ 15 Abs. 3 TMG) und hierauf ebenfalls hingewiesen wird.

Ich halte diese Einschätzung der bayerischen Aufsichtsbehörde auch noch für teilweise unzutreffend, weil beim Einsatz des IP-Masking keine pseudonymisierten Nutzerprofile erstellt werden, weshalb es bereits an den sachlichen Voraussetzungen für eine Anwendung von § 15 Abs. 3 TMG fehlt. Das Schreiben des Bayerischen Landesamts belegt aber andererseits, dass man dort – anders als im Hamburg – davon ausgeht, dass mithilfe der zusätzlichen Einbindung des Codes für das IP-Masking eine datenschutzkonforme Nutzung von Analytics möglich ist.

Es muss im übrigen darauf hingewiesen werden, dass weder der hanseatische Datenschutzbeauftragte noch der sog. Düsseldorfer Kreis über eine Deutungshoheit zum Datenschutz verfügt. Dort werden auch nur Rechtsansichten vertreten, die man nicht teilen muss. Letztlich ist es Sache der Gerichte, die Streitfragen zu klären.

Die Diskussion zeigt allerdings, dass das Datenschutzrecht dringend eine konkrete Regelung für Tracking-Technologien benötigt, damit sowohl die zahlreichen Nutzer derartiger Programme als auch deren Anbieter Rechtssicherheit erlangen. Google ist außerdem nicht der einzige Anbieter von Tracking-Technologie, stellt aber derzeit im Bereich des Datenschutzes bekanntlich so eine Art Prügelknabel dar.

Der Umstand, dass Twitter kürzlich Nutzerdaten – vor dem Hintergrund von Ermittlungen gegen Wikileaks-Chef Assenge – an die US-Regierung herausgegeben hat, wird gerade intensiv diskutiert. Es scheint hierbei offenbar die Ansicht vorzuherrschen, derartiges sei in Deutschland nicht oder nur erschwert möglich.

Dass das ein Irrglaube ist, legt der Kollege Vetter in seinem Blog anschaulich dar. Diese Einschätzung entspricht auch meiner Erfahrung. Seit vielen Jahren liefern Provider und Portalbetreiber den Ermittlungsbehörden oftmals ohne großen Widerstand alle möglichen Daten auf Anfrage hin. Das Spektrum reicht von Bestandsdaten bis hin zu konkreten Kommunikationsinhalten. Oft genug werden hierbei durch die Behörden auch die gesetzlichen Vorgaben nicht beachtet. In vielen Fällen genügt faktisch ein Fax einer Polizeidienststelle oder KPI mit einer „Auskunftsanfrage“ und die Behörden bekommen die gewünschten Daten auf dem Silbertablett. Eine gewisse Erschwernis dieser zum Teil rechtswidrigen Praxis ist nun dadurch eingetreten, dass viele Provider und Portalbetreiber IP-Adressen nicht mehr oder nur nur noch sieben Tage speichern und danach keine Auskunft mehr erteilen können, weil die gewünschten Daten nicht mehr vorhanden sind. Der Grund hierfür ist übrigens nicht der Wegfall der Vorratsdatenspeicherung, sondern der Druck der von den Datenschutzbehörden ausgeht. Ein Umstand, der auch in der aktuellen Diskussion über die Vorratsdatenspeicherung zu wenig beachtet wird. Die (politische) Diskussion müsste eigentlich konkret das Spannungsverhältnis von Datenschutz und staatlichem Sicherheitsinteresse beleuchten. Diese Diskussion scheint aber politisch nicht erwünscht zu sein.

Ich habe vor einiger Zeit mal einen ISP vertreten, der eine formlose Anfrage des Bundeskriminalamts auf dem Tisch hatte, zu einer IP-Adresse die „Bestandsdaten“ eines Kunden zu liefern. Der Provider hat die Herausgabe verweigert und gab dem BKA die Rückmeldung, dass man mit der ermittelnden Staatsanwaltschaft im Rahmen der gesetzlichen Vorgaben natürlich kooperieren würde, aber für eine Beantwortung dieser formlosen Anfrage keine rechtliche Verpflichtung erkennen könne. Der Provider hat von dem Vorgang nie wieder etwas gehört, weder das BKA noch eine Staatsanwaltschaft ist je wieder bei dem ISP vorstellig geworden.

Die meisten Anbieter sind allerdings nicht so widerspenstig, sondern kooperieren bereitwillig mit den Behörden. Zum Teil weil man glaubt, dazu stets verpflichtet zu sein, teils deshalb, weil man keinen Ärger mit der Staatsgewalt haben möchte.

Auch richterliche Beschlüsse über die Beschlagnahme von Kommunikationsinhalten gibt es in Deutschland sehr häufig und oftmals auch sehr zügig. Die Bedeutung des Richtervorbehalts wird insgesamt stark überschätzt.

Bei der Lektüre mancher Äußerungen von Politikern stellt sich mir die Frage, ob der Betreffende gänzlich inkompetent ist oder schlicht ein Demagoge. Das ist ein bisschen wie die Wahl zwischen Not und Elend. Eine aktuelle Äußerung von Volker Kauder (CDU) wirft genau diese Frage auf.

In einem Artikel der Berliner Zeitung heißt es:

Unions-Fraktionschef Volker Kauder forderte in der Bild am Sonntag, Internetnutzer müssten ein Auskunftsrecht auf die über sie gespeicherten Daten erhalten.

Diesen gesetzlichen Auskunftsanspruch gibt es allerdings längst. Herr Kauder sollte einfach § 34 BDSG lesen.

Welche Annahme ist nun bedenklicher, die der Inkompetenz oder die der Lüge?

Gestern konnte man an verschiedenen Stellen lesen, dass der sog. Elektronische Entgeltnachweis (ELENA) vorerst gestoppt, abgeschaltet oder gar faktisch begraben worden sei.

Wer genau gelesen hat, dürfte allerdings bemerkt haben, dass lediglich die Tesphase um zwei Jahre verlängert wird. Die Pflicht zur Übermittlung der Daten an die zentrale Speicherstelle, die seit 01.01.2010 besteht, wird, soweit ersichtlich, nicht ausgesetzt. Das bedeutet allerdings auch, dass die Vorratsspeicherung von Arbeitnehmerdaten unverändert weitergeht.

Von einem Stopp kann also (noch) keine Rede sein.

Wer glaubt, der CDU Politker Axel E. Fischer habe mit seiner Forderung nach einem „Vermummungsverbot im Internet” bereits etwas vollbracht, was nicht steigerungsfähig ist, der irrt. Denn es kommt noch besser. Axel E. Fischer, Vorsitzender der Internet-Enquete-Kommission, agiert online selbst vermummt. Das Blog „ja-zu-fischer.de“ verfügt, entgegen der Vorschrift des § 55 RStV, über kein Impressum. Erst die Recherche bei DENIC ergibt als Inhaber der Domain: Axel Fischer, Platz der Republik 1, Berlin.

Man muss es sich auf der Zunge zergehen lassen. Axel E. Fischer, der sagt, es könne nicht sein, dass sich Nutzer im Netz  hinter selbstgewählten Pseudonymen verstecken, bloggt anonym.

Wasser predigen und Wein saufen nennt man das wohl. Was bin ich froh, dass neben der Kompetenz auch noch die Konsequenz zu den großen Stärken von Axel E. Fischer zählt.

Update:
Axel E. Fischer hat reagiert und das Blog mittlerweile vom Netz genommen, die Domain wird derzeit auf „axel-e-fischer.de“ umgeleitet.  Die ursprüngliche Version ist aber noch im Google-Cache vorhanden. Eine neue Version, die schnell um ein Impressum ergänzt wurde, ist mittlerweile online.

Der CDU Politker Axel E. Fischer, immerhin Vorsitzender der Internet-Enquete-Kommission, hat gefordert, ein „Vermummungsverbot im Internet“ einzuführen. Es könne nicht sein, so Fischer, dass sich Bürger im Netz hinter Pseudonymen versteckten. Abgesehen davon, dass diese Forderung gegen geltendes Recht, nämlich § 13 Abs. 6 TMG, verstößt, stellt sich die Frage, ob ein solches virtuelles Vermummungsverbot mit dem Recht auf informationelle Selbstbestimmung vereinbar ist.

In der Schweiz gibt es (ebenfalls) eine interessante Debatte über die Frage der Zulässigkeit von anonymen Postings, mit der sich in der kommenden Woche das Schweizerische Bundesgericht befassen wird.

Das Schweizerische Fernsehen verweigert der Staatsanwaltschaft die Herausgabe der IP-Adresse eines anonymen Kommentarschreibers und beruft sich auf den presserechtlichen Quellenschutz. Das Urteil des obersten Gerichts der Schweiz zu dieser Frage wird mit Spannung erwartet.

(via e-comm)

Die Street View Debatte halte ich seit längerer Zeit für ein Ärgernis. Dass deutsche Politiker und Medien ein Thema angeheizt haben, das von den wirklich relevanten Datenschutzfragen ablenkt, gibt zu denken.

Dass dann auch noch ein halbwegs prominenter US-Blogger über das deutsche Verpixelungsrecht schwadroniert – von der ZEIT überflüssiger Weise noch übersetzt – ist ebenso deplatziert wie die einheimische Debatte.

Um es kurz zu machen: Es gibt kein deutsches Verpixelungsrecht. Der Bundesrat hätte ein solches Recht gerne geschaffen, was die Bundesregierung aber abgelehnt hat. Niemand konnte Google daher dazu zwingen, diese Widerspruchsmöglichkeit (Verpixelung) anzubieten. Google hat es trotzdem getan, aber nicht aus juristischen Gründen. Jarvis hätte also besser gefragt: „Google, what have you done?“