Internet-Law

Die zuständigen Ausschüssen des Bundesrats fordern in zahlreichen Punkten eine Nachbesserung des neuen Entwurfs der Bundesregierung für ein Gesetz zur Regelung des Beschäftigtendatenschutzes.

Der Bundesrat bedauert zunächst, dass die Regelung nicht im Rahmen eines eigenständigen Gesetzes erfolgt, sondern in das Bundesdatenschutzgesetz integriert werden soll. Nachdem der Datenschutz bei uns auch ansonsten einem sektorspezifischen Konzept folgt und es gerade kein umfassendes Datenschutzgesetz gibt, entbehrt dieser Einwand nicht einer gewissen Berechtigung.

Inhaltlich kritisieren die Ausschüsse eine ganze Reihe der geplanten Einzelregelungen. Der Bundesrat fordert u.a., dass die in § 32f BDSG-E enthaltenen Regelungen über die Videoüberwachung zum Zweck der Sicherung bzw. Qualitätskontrolle eingeschränkt und um das ausdrückliche Verbot ergänzt wird, die erhobenen Daten zur Verhaltens- oder Leistungskontrolle zu nutzen.

Außerdem hält der Bundesrat die Regelung des Beschwerderechts in § 32l Absatz 4 BDSG-E für europrechtswidrig. Den Beschäftigten müsse das Recht eingeräumt werden, sich unmittelbar an die für die Datenschutzkontrolle zuständige Behörde wenden zu können.

Schließlich hält es die Länderkammer auch für sinnvoll, weitere Regelungen über die Zulässigkeit und den Umfang der  privaten Nutzung von TK-Diensten zu normieren. Dem Arbeitgeber sollte nach Ansicht des Bundesrats die gesetzliche Verpflichtung auferlegt werden, in seinem Betrieb verbindliche Regelungen über Zulässigkeit und Umfang der privaten Nutzung zu treffen, um Streitigkeiten in diesem Bereich von vornherein zu vermeiden.

Das Deutschlandradio Kultur hat mich gestern zu dem Konflikt Niggemeier vs. Neven DuMont interviewt und auch nach dem dahinterstehenden Spannungsverhältnis von Meinungsfreiheit und Datenschutz gefragt. Das Interview ist als MP3 verfügbar.

Zu diesem Themenkreis passt auch der Vorschlag eines Gesetzes zur Regulierung personenbezogener Internetdatenveröffentlichungen des Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein (ULD).

Vor einigen Tagen habe ich über das Spannungsverhältnis von Datenschutz und Meinungsfreiheit gebloggt. Heute hat das Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein (ULD) ein Gesetz zur Regulierung personenbezogener Internetdatenveröffentlichungen vorgeschlagen, durch das als neue Form der Datenverarbeitung das „Veröffentlichen“ eingeführt werden soll. Der Entwurf des ULD sieht hierzu u.a. die Schaffung einer neuen Vorschrift (§ 29a BDSG) vor, die wie folgt lauten soll:

Veröffentlichung

(1) Das Veröffentlichen personenbezogener Daten in Telemedien ist zulässig, wenn dies dem Zweck dient, eine Meinung frei zu äußern und zu verbreiten und kein Grund zu der Annahme besteht, dass das überwiegende schutzwürdige Interesse der Betroffene am Ausschluss der Veröffentlichung überwiegt.

(2) Ein schutzwürdiges Interesse besteht bei besonderen Arten personenbezogener Daten nach § 3 Abs. 9, wenn nicht im Einzelfall das Interesse an der Veröffentlichung offensichtlich überwiegt.

(3) Ein schutzwürdiges Interesse besteht, wenn der Betroffene gegenüber der verantwortlichen Stelle widerspricht, es sei denn, die verantwortliche Stelle legt dem Betroffenen gegenüber das überwiegende Interesse an einer Veröffentlichung dar. Die Darlegung nach Satz 1 kann in der Form des vom Betroffenen erklärten Widerspruchs oder schriftlich erfolgen.

(4) Betroffene können ihre Datenschutzrechte gegenüber dem verantwortlichen Telemedien-Diensteanbieter elektronisch an die nach § 5 Absatz 1 Nr. 2 Telemediengesetz zu nennende Stelle richten. Wird die Beschwerde nicht unverzüglich beantwortet, so verletzt die weitere Veröffentlichung schutzwürdige Betroffeneninteressen. Kann die verantwortliche Stelle nicht die Richtigkeit der Daten nachweisen, so tritt neben die Löschungs- und Sperransprüche nach § 35 ein Anspruch auf Hinzufügung einer eigenen Darstellung von angemessenem Umfang. § 57 Abs. 3 Rundfunkstaatsvertrag zu Gegendarstellungen ist sinngemäß anzuwenden.

(5) Die Veröffentlichung von personenbezogenen Daten aus allgemein zugänglichen Quellen hat zu unterbleiben, wenn der entgegen stehende Wille des Betroffenen aus dieser Quelle oder auf andere Weise eindeutig erkennbar ist. Der Empfänger von veröffentlichten Daten hat sicherzustellen, dass Kennzeichnungen bei der Übernahme übernommen werden.

(6) Beabsichtigt ein Telemedien-Diensteanbieter die Veröffentlichung von personenbezogenen Daten zu mehr als 1000 oder von einer unbestimmten Zahl von Personen, so hat er dies auf einer beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eingerichteten Internetseite vorher unter Nennung der Datenart und der Quelle bekanntzugeben.

(7) Verantwortliche Stellen, die personenbezogene Daten veröffentlichen, können diese mit einem Löschdatum versehen. Werden diese Daten von einer anderen verantwortlichen Stelle übernommen, so ist bei der weiteren Veröffentlichung und der sonstigen Verarbeitung das jeweilige Löschdatum zu berücksichtigen.

Der Grundansatz dieser Idee ist zwar zu begrüßen, die inhaltliche Ausgestaltung erscheint aber nicht angemessen und gerade auch im Lichte von Art. 5 GG fragwürdig. Denn diese Regelung beinhaltet in seinem Absatz 3 ein Widerspruchsrecht im Einzelfall. Das bedeutet, dass jederman zunächst Veröffentlichungen zu seiner Person und damit auch seiner Meinung widersprechen kann und die verantwortliche Stelle dann im Einzelfall gegenüber dem Betroffenen reagieren muss und ein überwiegendes Interesse darzulegen hat.

Ein solches Prozedere würde Veröffentlichungen mit Personenbezug erheblich erschweren und sogar die Gefahr begründen, dass man z.B. als Blogger von solchen Veröffentlichungen absieht, weil einem das Risiko eines Widerspruchs und der damit einhergehende Aufwand zu hoch ist. Ich halte diesen Vorschlag daher nicht mit Art. 5 GG für vereinbar. Die Abwägung ist hier deutlich zu Lasten der Meinungsfreiheit ausgestaltet. M.E. sollte man die Veröffentlichung von personenbezogenen Daten die im Zuge einer Berichterstattung oder öffentlichen Kundgabe einer Meinung erfolgt, überhaupt nicht an den Vorgaben des BDSG messen, sondern allein im Rahmen der Abwägung zwischen Persönlichkeitsrecht und Meinungsfreiheit.

Das Spannungsverhältnis von Datenschutz und Kommunikationsgrundrechten gehört zu den ungelösten aber zugleich wichtigsten internetrechtlichen Themen überhaupt. Der geschätzte Kollege Thorsten Feldmann wird kommende Woche in Berlin beim DAV-Forum Datenschutz zum Thema „Datenschutz und Meinungsfreiheit“ referieren. Das Abstract seines Vortrags hat er bereits vorab ins Netz gestellt.

Der Datenschutz, und nicht nur der, wird immer häufiger als Vorwand dafür benutzt, unliebsame Meinungsäußerungen bzw. Veröffentlichungen zu unterbinden. Das Datenschutzrecht regelt dieses Spannungsverhältnis bislang nicht zufriedenstellend. Das sog. Medienprivileg in § 41 BDSG ist inhaltlich unzureichend und erfasst zudem Onlineinhalte nicht.

In diesem Zusammenhang muss erneut darauf hingewiesen werden, dass Art. 9 der Datenschutzrichtlinie (95/46/EG) verlangt, für die Datenverarbeitung zu journalistischen, künstlerischen und literarischen Zwecken Ausnahmen vorzusehen, um das Recht auf Privatsphäre mit dem der Meinungsfreiheit in Einklang zu bringen.

Diese Vorgabe ist bislang nicht (ausreichend) in deutsches Recht umgesetzt worden. Man wird unter die journalistische Datenverarbeitung auch den nichtprofessionellen Onlinejournalismus fassen müssen, wie wir ihn beispielsweise in Blogs finden, so dass bei richtlinienkonformer Auslegeung des deutschen Rechts insoweit ein Medienprivileg bestehen müsste.

Aus meiner Sicht wäre es ganz allgemein sinnvoll, Meinungsäußerungen und die Berichterstattung explizit vom Anwendungsbereich des Datenschutzrechts auszunehmen.

Die Diskussion, ob Stefan Niggemeier darüber berichten durfte, dass Konstantin Neven DuMont möglicherweise über Monate hinweg unter unterschiedlichen Pseudonymen im Blog Niggemeiers Kommentare verfasst hat, halte ich für spannend. Eine abschließende Meinung habe ich dazu nicht.

War Niggemeier verpflichtet, die Anonymität Neven DuMonts zu wahren? Eine Frage, die man juristisch unter dem Aspekt des Persönlichkeitsrechts und des Datenschutzes diskutieren kann. Aber andererseits eventuell auch unter dem Gesichtspunkt eines Rechts auf einen „Gegenschlag“, was mir angesichts der Position DuMonts und der Inhalte der Beiträge nicht abwegig erscheint.

Das Bundesdatenschutzgesetz sieht in § 34 vor, dass jeder von der verantwortlichen Stelle (§ 3 Abs. 7 BDSG) Auskunft über die zu seiner Person gespeicherten Daten verlangen kann. Von diesem Auskunftsanspruch sind bei Auskunfteien wie der SCHUFA, Bürgel, Creditreform oder Infoscore auch die sog. Scoringwerte umfasst. Das sind Wahrscheinlichkeitswerte die eine Einschätzung der Bonität ermöglichen sollen. Insoweit muss auch über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form informiert werden.

Die Auskunft ist kostenfrei. Wenn die Daten wie bei der SCHUFA zum Zwecke der Übermittlung gespeichert werden, kann die Auskunft einmal je Kalenderjahr in Textform verlangt werden (§ 34 Abs. 8 BDSG).

Man kann die SCHUFA also jährlichzur Auskunft auffordern, was durchaus sinnvoll erscheint, denn SCHUFA-Daten sind häufig falsch, wie Stiftung Warentest ermittelt hat.

Der Bundesdatenschutzbeauftragte hat für diese Selbstauskunft ein Formular entwickelt, das die Sache ungemein erleichtert.

Das ZDF-Magazins WISO berichtet darüber, dass Einwohnermeldeämter die Meldedaten ihrer Bürger an Firmen weitergeben und damit auch noch Geld verdienen.  Was der Bundesdatenschutzbeauftragte Peter Schaar als Skandal bezeichnet, ist leider in einigen Bundesländern völlig legal. Hierauf hatte ich unlängst bereits hingewiesen.

Beispielsweise nach den Vorschriften des bayerischen (Art. 32 Abs. 3 MeldeG) oder baden-württembergischen (§ 34 Abs. 3 MG) Melderechts sind die Gemeinden nämlich berechtigt, Meldedaten volljähriger Bürger an Adressbuchverlage zu übermitteln. Die Bürger müssen dem ausdrücklich widersprechen, wenn sie das verhindern wollen. Das Melderecht anderer Bundesländer verlangt zumindest eine Einwilligung des betroffenen Bürgers.

Der eigentliche Skandal besteht also in solchen gesetzlichen Regelungen, die ein Zugeständnis gegenüber den Lobbyisten der Adresshändler darstellen.

Mit der Frage, ob der Like-Button von Facebook datenschutzkonform auf einer externen Website eingebunden werden kann, beschäftigt sich ein Aufsatz von Michael Marc Maisch (AnwZert ITR 19/2010, Anm. 2), den es gerade als kostenlose Leseprobe (vermutlich nur für kurze Zeit) gibt.

Maisch stellt klar, dass derjenige, der den Like-Button auf seine Website einbindet, verantwortliche Stelle im datenschutzrechtlichen Sinne des § 13 TMG ist. Weil, wie Maisch es ausdrückt, der Like-Button eine intransparente „Black-Box“ darstellt, kann der Betreiber der Website nicht über Art, Umfang und Zwecke der Datenverarbeitung aufklären oder gemäß § 13 Abs. 7 TMG i.V.m. § 34 BDSG Auskunft erteilen, weil die Datenübermittlung und Datenverarbeitung letztlich ja durch Facebook erfolgt. Maisch rät daher von der Einbindung des Like-Buttons ab. Das entspricht im Ergebnis auch meiner Einschätzung.

Letzte Woche ging die Meldung durch die Presse, dass das Unternehmen Easycash 50 Millionen EC-Kartendaten von Kunden gespeichert hat, die bei einem Vertragspartner des Unternehmens per Karte und Unterschrift, also im Lastschriftverfahren, einkaufen. Betroffen davon sind u.a. Kunden der Märkte der REWE-Gruppe  (REWE, Penny, Toom und Promarkt). REWE hat als Reaktion auf die Berichterstattung angekündigt, auf die Nutzung der Easycash-Daten zu verzichten, wie es in einem Bericht des Tagesspiegel vom 24.09.2010 heißt.

Am vergangenen Samstag habe ich deshalb mal den Praxistest gemacht und bei Penny mit EC-Karte bezahlt. Und siehe da, auf dem Beleg, auf dem man als Kunde unterschreibt und von dem man kein Duplikat erhält, ist tatsächlich eine kleingedruckte Einwilligungserklärung nach dem BDSG untergebracht. Dass diese Erklärung in dieser Form nicht wirksam ist, hatte ich bereits erläutert. REWE hat aber seine Ankündigung diese Daten nicht mehr zu erheben, bislang offenbar auch nicht wahrgemacht. REWE kann sich auch nicht ohne weiteres auf EasyCash herausreden, denn REWE selbst ist zunächst die speichernde Stelle, die die Daten erhebt.

Gewisse Politiker – hallo Frau Aigner – die sich vehement darüber aufgeregt haben, dass Google Häuserfassaden fotografiert, sind erstaunlich ruhig, wenn es wie hier um wirklich schwerwiegende Datenschutzverstöße geht. Vielleicht sollte man auch darüber reden.

Medienberichten zufolge hat das Unternehmen Easycash die Bankverbindungen sowie Betrag, Zeitpunkt und Ort von Transaktionen von ca. 50 Millionen deutscher EC-Karten-Kunden zentral gespeichert. Wer bei einem Vertragspartner von Easycash, also z.B. einem Supermarkt, per EC-Karte und Unterschrift bezahlt, wird auf diese Weise erfasst.

Offenbar steht auf der Rückseite des Zahlungsbelegs, auf dem man bei der Bezahlung unterschreibt, kleingedruckt, dass man in die Speicherung und Verarbeitung der Daten durch Easycash einwilligt. Esaycash vertritt zudem die Ansicht, es würde sich nicht um personenbezogene Daten handeln.

Diese Praxis stellt meines Erachtens einen evidenten Verstoß gegen das Bundesdatenschutzgesetz dar, über den man juristisch schwerlich diskutieren kann.

Eine wirksame Einwilligung des Betroffenen liegt nicht vor. Denn eine solche würde voraussetzen, dass  der Kunde auf den Zweck der Datenerhebung hingewiesen worden ist. Wenn die Einwilligung, wie hier, zusammen mit anderen Erklärungen erteilt werden soll, ist die Einwilligung außerdem besonders hervorzuheben (§ 4a Abs. 1 S. 4 BDSG). Dadurch soll genau das verhindert werden, was hier praktiziert worden ist, nämlich, dass einem Betroffenen eine Einwilligung untergeschoben wird.

Die Ansicht des Unternehmens, es würde sich nicht um personenbezogene Daten handeln, ist angesichts der Tatsache, dass diese Datenbank gerade zu dem Zweck angelegt wurde, die Bonität von Kunden prüfen zu können, nicht mehr als ein schlechter Witz. Selbst wenn Easycash den Namen des Karteninhabers nicht kennt bzw. speichert, was man allerdings auch bezweifeln muss, sondern nur eine Bankverbindung (Kontonummer, Bankleitzahl) speichert, so ist der Zweck der Speicherung dennoch der, Empfehlungen für Vertragsunternehmen im Hinblick auf Zahlungsfähigkeit und Kreditwürdigkeit der Karteninhaber zu erstellen und diese Empfehlungen zu übermitteln. Und spätestens damit wird der Personenbezug hergestellt und der Übermittlungstatbestand des BDSG erfüllt.

Die Datenschutzbehörden müssten deshalb konsequenterweise die Löschung der gesamten Datenbank von Easycash fordern. Alles andere wäre nicht datenschutzkonform.