Internet-Law

Dass Google den Start des Street View Dienstes noch für dieses Jahr angekündigt hat, erregt die Gemüter. Deshalb gibt es auch den Google Street View Widerspruch und den Google-Street-View-Widerspruch-Widerspruch.

Klingt mir nach einer Neuauflage von Ilse vs. Sascha, was es schon vor zwei Wochen im Spiegel gab. Wer die beiden neuen Protagonisten der (netz-)politischen Comedy nur mäßig witzig findet, kann sich auch dem wesentlich spaßigeren Gesetzesentwurf „lex Google“ zuwenden. Für schlechte Unterhaltung ist also weiterhin gesorgt im Sommerloch.

Vielleicht reden wir anschließend dann mal über die relevanten Themen des Datenschutzrechts.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat laut einer eigenen Pressemitteilung vom 26.07.2010 zu einem drastischen Mittel gegriffen und dem Hausärzteverband Schleswig-Holstein mittels Verfügung, unter Androhung eines Zwangsgeldes in Höhe von 30.000 Euro, untersagt, von Hausärzten stammende Patientendaten weiterzugeben oder diese selbst zu nutzen.

Begründet hat der Datenschutzbeauftragte des Landes Schleswig-Holstein seine Entscheidung damit, dass die Hausärzte wegen des zwischen der AOK Schleswig-Holstein, dem Hausärtzteverband und Dienstleistern abgeschlossenen Vertrages, keine ausreichende Möglichkeit der Kontrolle über die Weitergabe von Patientendaten durch ihr Praxissystem mehr hätten. Damit fehle es auch an den gesetzlichen Voraussetzungen einer Auftragsdatenverarbeitung, weil die Ärzte die Kontrolle über ihre Patientendaten als Auftraggeber nicht mehr wahrnehmen könnten.

An dem Rahmenvertrag, der das Verhältnis zwischen dem Hausärzteverband, Dienstleistern und den einzelnen Ärzten festlegt, sind die Ärzte unmittelbar überhaupt nicht beteiligt. Der Vertrag zwingt die Ärzte dennoch dazu, auf ihren Praxissystemen Software gemäß den Vorgaben des Hausärzteverbandes zu installieren. Den Ärzten wird hierbei sogar vertraglich verboten, Kenntnis von wesentlichen Elementen der Software zu nehmen, so dass sie nach Ansicht des ULD keine vollständige Kontrolle mehr über die Daten auf ihrem System haben. Damit verletzten die Ärzte nach Ansicht des Datenschutzbeauftragten nicht nur ihre Datenschutzpflichten, sondern auch ihre ärztliche Schweigepflicht.

Nach § 11 BDSG bleibt bei einer sog. Auftragsdatenverabreitung der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und hat durch eine Reihe technischer und organisatorischer Maßnahmen sicherzustellen, dass die Vorgaben des Datenschutzrechts gewahrt werden und auch ein entsprechender schriftlicher Auftrag erteilt wird. Diese gesetzlichen Pflichten verletzten der Hausärzteverband und die teilnehmenden Ärzte nach Auffassung des ULD.

Die sofortige Vollziehung dieser Verfügung wurde angeordnet, d.h. der Verband muss die Verfügung umgehend beachten, selbst wenn er dagegen Rechtsbehelfe ergreift.

Das OLG Frankfurt hat mit Urteil vom 16.06.2010 (Az.: 13 U 105/07) entschieden, dass Flatrate-Kunden der Telekom nicht verlangen können, dass die beim Verbindungsaufbau vergebenen dynamischen IP-Adressen sofort nach Beendigung der Internetverbindung wieder gelöscht werden. Nach Ansicht des Senats genügt es, wenn die Löchung erst nach sieben Tagen erfolgt, dies sei noch unverzüglich im Sinne des TKG.

Das Oberlandesagericht bestätigt damit ein Urteil des Landgerichts Darmstadt.

Die Revision wurde zugelassen, sie ist beim BGH (Az.: III ZR 146/10) bereits eingelegt worden.

Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbing und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform „hamburg.de“ den „Like-Button“ wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.

Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button „gefällt mir“ auch auf externen Websites außerhalb der Facebookplattform einzubinden.

Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die „Facebook Ireland Limited“ ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.

Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.

Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.

Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe „gefällt mir“ Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.

Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht.  Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten.  Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.

Die Verwendung des „Like-Buttons“ von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.

Update vom 29.08.2011:
Die aktuelle Diskussion, die vom ULD losgetreten wurde, hat mich veranlasst diesen Beitrag zu ergänzen. Denn aus Sicht des Betreibers der Website, gibt es zwei Umstände, die Zweifel daran begründen, ob er tatsächlich der datenschutzrechtlich Verantwortliche ist. Deshalb möchte ich auch meine ursprüngliche Aussage, wonach der Betreiber der Website gegen das Datenschutzrecht verstößt, nicht aufrecht erhalten, sondern vielmehr zur Diskussion stellen.

Entscheidend ist meines Erachtens, ob der Webseitenbetreiber, der den Facebook Like-Button und mithin von Facebook stammenden Code in seine Website einbindet, damit zu einer verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG wird und ob es sich aus seiner Sicht um personenbezogene Daten handelt.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten – die aus Sicht von Facebook auch personenbezogen sind – mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation aber nicht. Darauf kann man nun mit einer erweiterten Auslegung reagieren, wie es das ULD tut oder man kann sich auf die Position zurückziehen, dass verantwortliche Stelle alleine Facebook ist und mithin auch nur Facebook Adressat von behördlichen Maßnahmen sein kann.

Dass die Datenschutzbestimmungen von Apple nicht mit deutschem und europäischem Datenschutzrecht vereinbar sind, habe ich vor einigen Wochen dargelegt.

Dass aber auch die Nutzer von MacOS regelmäßig ihre Standortdaten an Apple senden, ist ein zusätzliches Gustostück.  Während sich der gesetzgeberische Aktionismus auf Google Street View konzentriert, wird Apple offenbar noch wenig behelligt. Seine eigenen Kunden unbewusst Daten übermitteln zu lassen, ist allerdings ein Vorgang, der nicht weniger kritisch ist.

Der Datenschutzbeauftragte des Landes Schleswig-Holstein,Thilo Weichert, wirft der Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) einen Verstoß gegen das Bundesdatenschutzgesetz vor. Die Schufa hat auf Weicherts Aufforderung, ihm das Bonitäts-Scoring der Schufa detailiert zu erläutern, keine Stellungnahme abgegeben.

Hintergrund ist der, dass die neu eingeführte Vorschrift des § 28b BDSG genaue gesetzliche Anforderungen an die Zulässigkeit eines Scoring-Verfahrens stellt. Ergänzend sieht § 34 Abs. 2 BDSG vor, dass ein Betroffener – also jeder zu dem die Schufa Daten speichert – Auskunft verlangen kann über:

1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte,
2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und
3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.

Auch wenn die Ansicht vertreten wird, die Datenschutzbehörden hätten keinen Anspruch auf Auskunft gegen die Schufa – was schon deshalb abwegig ist, weil sie sonst ihre Aufgabe, die Einhaltung von § 28b BDSG zu überwachen nicht gewährleisten könnten – so hat zumindest der Betroffene Bürger einen Auskunftsanspruch gegenüber der Schufa.

Kaum ist die Verfassungsbeschwerde gegen das neue Volkszählungsgesetz (ZensG) erhoben, wird auch schon in der taz und in Blogs deren mangelnde Erfolgsaussicht beklagt. Fundierte Argumente werden für diese Ansicht freilich nicht ins Feld geführt.

Wenn Christian Rath in der taz schreibt:

„Das allerdings ist ein Missverständnis. Verboten hatte das Karlsruher Gericht damals nicht den Einsatz von Ordnungsnummern innerhalb der Volkszählung, sondern die Zusammenführung der Zensusdaten und anderer bei Behörden gespeicherter Daten mittels einer Personenkennziffer.“

so unterliegt er in zweifacher Hinsicht einem Irrtum. Das BVerfG hat im Volkszählungsurteil keine Zusammenführung mittels Personenkennziffer verboten, weil das in dieser Form seinerzeit nicht entscheidungserheblich war. Das Gericht hat dennoch darauf hingewiesen, dass auch die Übernahme sämtlicher Daten aus bereits vorhandenen Dateien keine zulässige Alternative zu der vorgesehenen Totalzählung darstellt. Aus diesen Ausführungen des Gerichts ist in der datenschutzrechtlichen Literatur zum Teil sogar die Schlussfolgerung gezogen worden, dass eine registergestützte Volkszählung überhaupt nicht datenschutzkonform ausgestaltet werden kann.

Die Kritiker der Verfassungsbeschwerde könnten freilich aus einem anderen Grund Recht haben. Wir haben in den letzten 20 Jahren eine schrittweise Erosion der Grundrechte erlebt, die auch vor dem Bundesverfassungsgericht nicht Halt gemacht hat. Das Gericht hat vielmehr das Schutzniveau seiner Rechtsprechung schrittweise abgesenkt. Wenn mich jemand vor 20 Jahren gefragt hätte, ob ein Gesetz wie das ZensG vor dem BVerfG hält, hätte ich das ohne zu zögern verneint. Heute bin ich mir da allerdings nicht mehr so sicher.

Dass aus der Datenschutzszene wenig Widerspruch gegen das ZensG kam, spricht eher dafür, dass dort die Schwerpunkte falsch gesetzt und verschiedene Dinge offenbar auch nicht verstanden werden. Während man gegen Nebensächlichkeiten wie Google Street View Sturm läuft, regt sich bei tatsächlich substantiellen Gefahren für die informationelle Selbstbestimmung des Einzelnen, wie sie vom ZensG ausgehen, mittlerweile kaum mehr Widerstand. Es ist deshalb umso wichtiger, dass es Bürgerrechtler gibt, die gegen die neue Volkszählung mobil machen, auch wenn manche Journalisten das nicht verstehen.

Genau ein Jahr nach dem Inkrafttreten des Gesetzes über den registergestützten Zensus im Jahre 2011 (ZensG) und damit am letzten Tag der Jahresfrist hat der neu gegründete Arbeitskreis Zensus, der u.a. vom FoeBuD unterstützt wird für einige Musterbeschwerdeführer Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht. Eine weitere Verfassungsbeschwerde gegen das ZensG ist bereits anhängig.

Das neue Volkszählungsgesetz hat bislang kaum öffentliche Diskussionen hervorgerufen, was schon deshalb überraschend ist, weil eine Analyse der gesetzlichen Regelung ergibt, dass es wesentlich weitreichender ausgestaltet ist, als das Gesetz aus den 80’er Jahren, das letztlich in Karlsruhe gestoppt wurde.

Das neue Gesetz ist registergestützt, weshalb die meisten Bürger nicht befragt werden und von der Volkszählung unmittelbar gar nichts bemerken. Das bedeutet aber nicht, dass es weniger grundrechtsintensiv ist.

Nach § 13 Abs. 1 ZensG wird für jede Anschrift, jedes Gebäude, jede Wohnung, jeden Haushalt und jede Person von den statistischen Ämtern des Bundes und der Länder eine Ordnungsnummer vergeben und geführt. Die Ordnungsnummern dürfen gem. § 13 Abs. 2 ZensG bei den Zusammenführungen nach § 9 ZensG verwendet werden. Zur Erstellung des sog. kombinierten Datensatzes werden Daten aus verschiedenen Registern und von verschiedenen Behörden gesammelt bzw. übermittelt und zusammengeführt (§§ 3 – 8 ZensG). Es handelt sich u.a. um Daten der Meldeämter, oberster Bundesbehörden und der Bundesagentur für Arbeit. Diese Daten werden gebündelt und (personalisierbar) unter der Ordnungsnummer bis zur Dauer von vier Jahren gespeichert.

Dieses Verfahren lässt den vielbeschworenen gläsernen Bürger entstehen. Der Bürger bemerkt weder welche personenbezogenen Daten aus unterschiedlichsten Registern und Datenbanken zusammengeführt werden, noch kann er nachvollziehen, was nach der Zusammenführung über die Ordnungsummer verknüpft zu seiner Person gespeichert ist.

Gerade die Zusammenführung von Daten aus verschiedenen Registern und Dateien unter einem einheitlichen Personenkennzeichen, das jetzt Ordnungsnummer heißt, hat das BVerfG schon in seinem Volkszählungszählungsurteil nicht als milderes Mittel gegenüber einer herkömmlichen, unmittelbaren Befragung angesehen.

Apple verliert nicht nur den Charme des symphatischen Außenseiters, sondern steht jetzt auch wegen seines für marktbeherrschende Unternehmen typischen Geschäftsgebahrens in den USA vor Gericht. Die Providerexklusivität des iPhone zugunsten von AT & T wird nunmehr von einem District Court in Kalifornien überprüft. Die Kläger fordern u.a. ein Verkaufsverbot für iPhones mit Sim-Lock. Vielleicht stellt man ja in Europa ähnliche Überlegungen an, z.B. mit Blick auf Exklusivverträge wie den mit der Telekom.

Dass sich die EU-Kommission in kartellrechtlicher Hinsicht bislang nicht an der von Apple vorgegebenen, zwingenden Kopplung des iPhones an iTunes und den dortigen App Store stört, ist ohnehin erstaunlich.

Apple fällt leider derzeit auch mit Qualitätsproblemen beim neuen iPhone auf, was das Unternehmen mit der Löschung kritischer Beiträge in Nutzerforen quittiert. Und das leidige Datenschutzthema gibt es ja auch noch.

Der bereits vorliegende Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes aus dem Hause des Bundesinnenministers ist vielfach kritisiert worden. Denn der Entwurf würde fragwürdige Praktiken der Arbeitnehmerüberwachung, die nach geltendem Recht unzulässig sind, legalisieren und damit aus Sicht von Arbeitnehmern eine deutliche Verschlechterung bewirken.

Demgegenüber hat Justizministerin Leutheusser-Schnarrenberger nach Zeitungsberichten nunmehr eine deutliche Verbesserung des Datensschutzes für Arbeitnehmer angekündigt. Die Berichterstattung stützt sich offenbar auf Aussagen der Ministerin auf einer Podiumsdiskussion der Akademie für Politische Bildung in Tutzing.

Die Ankündigung von Leutheusser-Schnarrenberger würde freilich eine komplette Überarbeitung des vorliegenden Gesetzesentwurfs notwendig machen. Offenbar besteht in dieser Frage also wieder einmal ein erheblicher Dissens zwischen dem Innen- und dem Justiz-Ressort.