Internet-Law

Der Bundesrat hat dem Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes zugestimmt, der die Einfügung von § 30b BDSG vorsieht. In der Sache handelt es sich um eine „lex Google“, die Regelungen für die umstrittene Datenerhebung durch den Dienst „Street View“ enthält. Der Wortlaut der Vorschrift:

§ 30b Geschäftsmäßige Datenerhebung und -speicherung im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann

(1) Das geschäftsmäßige Erheben und Speichern von personenbezogenen Daten im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann ist zulässig, wenn

1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung oder Speicherung hat, oder

2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung oder Speicherung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt.

An einer allgemeinen Zugänglichkeit im Sinne von Satz 1 Nummer 2 fehlt es insbesondere bei Bildaufnahmen, die unter Entfernung oder Überwindung blickschützender Vorrichtungen erfolgen.

(2) Vor der Übermittlung von Aufnahmen natürlicher Personen sowie amtlicher Kennzeichen von Fahrzeugen, die im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann erhoben und gespeichert werden, ist sicherzustellen, dass die Personen und die amtlichen Kennzeichen der Fahrzeuge nicht identifizierbar sind. Daten, die als Rohdaten nach Absatz 1 erhoben wurden, sind nach ihrer Bearbeitung nach Satz 1 unverzüglich zu löschen.

(3) Sonstige personenbezogene Daten, die im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann erhoben und gespeichert werden, dürfen nur insoweit verarbeitet und genutzt werden, als nicht Hauseigentümer, Mieter oder sonstige Betroffene gegenüber der verantwortlichen Stelle der Verarbeitung und Nutzung ihrer personenbezogenen Daten widersprochen haben. Die personenbezogenen Daten, deren weiterer Verarbeitung und Nutzung der Betroffene widersprochen hat, sind unverzüglich zu anonymisieren oder zu löschen. Absatz 2 Satz 2 gilt entsprechend.

(4) Auf die geplante georeferenzierte großräumige Erfassung und das Widerspruchsrecht nach Absatz 3 hat die verantwortliche Stelle innerhalb von vier Wochen, spätestens jedoch eine Woche vor Beginn der Erfassung unter Angabe des Ortes und des Aufnahmezeitpunktes durch Veröffentlichung in einer örtlichen Tageszeitung sowie im Internet hinzuweisen. Vier Wochen vor dem beabsichtigten Bereithalten der Aufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann ist in örtlichen Tageszeitungen sowie im Internet erneut auf das Widerspruchsrecht hinzuweisen.

(5) Legt ein Betroffener Widerspruch gegen die weitere Speicherung und Übermittlung seiner personenbezogenen Daten ein, hat die verantwortliche Stelle den Eingang des Widerspruchs innerhalb einer Frist von zwei Wochen schriftlich oder elektronisch zu bestätigen und dabei mitzuteilen, bis zu welchem Zeitpunkt die Anonymisierung oder Löschung der personenbezogenen Daten erfolgen wird, deren weiterer Verarbeitung und Nutzung der Betroffene widersprochen hat.

(6) Sollen personenbezogene Daten im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Gebäuden, Straßen, Plätzen sowie vergleichbaren Geodaten zum Zweck des Bereithaltens fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann erhoben und gespeichert werden, ist dies durch Vorlage einer Verfahrensbeschreibung entsprechend § 4e mindestens drei Monate vor der beabsichtigten Datenerhebung der nach § 38 zuständigen Aufsichtsbehörde anzuzeigen. Verantwortliche Stellen im Sinne des § 1 Absatz 5 Satz 2 sind verpflichtet, zugleich einen im Inland ansässigen Zustellungsbevollmächtigten zu benennen. § 9 Absatz 3 Satz 2, 3 und 6 des Verwaltungszustellungsgesetzes gelten entsprechend.

Unabhängig von der inhaltlichen Fragwürdigkeit dieses Gesetzesentwurfs, muss die Flickschusterei in der datenschutzrechtlichen Gesetzgebung kritisiert werden. Es sollte sich endlich die Erkenntnis durchsetzen, dass das deutsche und europäische Datenschutzrecht nicht internetkonform ausgestaltet ist und, dass eine Fortschreibung des bisherigen Konzepts mit Blick auf das Internet und neue Mobilfunktechniken auch nicht geeignet ist, die bestehenden und neu entstehenden Fragen zu beantworten. Das derzeitige Verständnis vom Schutz personenbezogener Daten wird in seiner bisherigen Form nicht aufrecht erhalten zu sein. Je schneller das erkannt wird, umso größer ist die Chance, dass wir zu vernünftigen Lösungen gelangen.

Aus populistischen Gründen versucht man sich hier an einer mit heißer Nadel gestrickten Regelung eines Einzelfalls – der keineswegs zu den wirklich Bedenklichen zählt – anstatt sich endlich Gedanken über eine umfassende Reform des Datenschutzrechts zu machen. Hierzu müsste die Diskussion freilich dem Elfenbeinturm der berufsmäßigen Datenschützer entrissen und auf breiter gesellschaftlicher Ebene geführt werden.

Was den konkreten Entwurf angeht, hat der Gesetzgeber ganz offensichtlich auch noch nicht den Ansatz einer Ahnung davon, was im Bereich Geolocation / Geotargeting in den nächsten Jahren bevorsteht. Es geht hier auch darum, größere Zusammenhänge zu erkennen.

Das Europäische Parlament erweckte kurzzeitig den Eindruck sich emanzipieren zu wollen, um sich über Parteigrenzen hinweg, selbst behaupten zu können. Wer wie ich deshalb kurzzeitig anfing zu träumen, ist jetzt auf dem Boden der Tatsachen zurück. Beim Swift-Abkommen hat etwas Kosmetik gereicht, um die Abgeordneten fast aller Parteien wieder auf Linie zu bringen und das Swift-Abkommen nunmehr doch mit großer Mehrheit durchzuwinken. Daran vermochte auch die deutliche Kritik von Datenschützern nichts zu ändern.

Die Parlamentarier handeln damit gegen die Interessen der Bürger in Europa und auch gegen die Interessen der europäischen Wirtschaft. Es ist eine gehörige Portion Naivität nötig, um zu glauben, dass ein solches Abkommen, das nicht auf Gegenseitigkeit beruht, allein der Terrorbekämpfung dienen soll. Die US-Regierung und auch die US-Wirtschaft kann diese Daten sicherlich aus verschiedenen Gründen gebrauchen. Und warum sollten sich eigentlich die Amerikaner um europäische Datenschutzstandards scheren, wenn wir es nicht einmal selbst tun?

Der Hamburgische Datenschutzbeauftragte hat ein förmliches Bußgeldverfahren gegen Facebook eingeleitet.

Beanstandet wird die Praxis von Facebook die E-Mail- und Handy-Adressbücher seiner Nutzer auszuwerten und sich dadurch auch Daten von Nichtmitgliedern zu verschaffen, diese zu speichern und kommerziell zu nutzen.

Auf ein anderes Bonmot aus den Facebook-AGB weist Telemedicus heute hin:

„Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche identifizieren.“

Eigentlich wäre es gerade auch die Aufgabe von Verbraucherschutzverbänden gegen derartige Klauseln vorzugehen.

Gestern hat die Internet-Enquete-Kommission des Bundestags verschiedene Experten angehört. Für Juristen besonders interessant dürften die Ausführungen von Thomas Hoeren sein, die es auch in schriftlicher Form gibt.

Hoeren plädiert u.a. für eine Kodifizierung der Voraussetzungen der Störerhaftung und für eine Abschaffung des fliegenden Gerichtsstands in den Fällen der Verletzung von Immaterialgüterrechten.

Zum Thema Datenschutz und Internet stellt Hoeren die Frage, ob man nicht den Personenbezug als Prüfkriterium des Datenschutzrechts aufgegeben müsste und stattdessen eine übergreifende Informationsordnung schaffen sollte.

Die Plattform „hamburg.de“ hat den Like-Button von Facebook wieder entfernt und dies damit begründet, dass diese Funktion nicht datenschutzkonform ausgestaltet sei, weil Facebook auch Daten von Nutzern sammeln würde, die den Button gar nicht anklicken.

In einer Anmerkung hierzu holt der Kollege Dr. Bahr etwas weiter aus und meint, dass beispielsweise auch der Flattr-Button nicht datenschutzkonform sei. Auch wenn ich dem Kollegen in der Tendenz beipflichten muss, wenn er meint, dass große Teile des Web (2.0) streng genommen mit deutschem Datenschutzrecht unvereinbar sind, ist mir bei den Buttons von Facebook oder Flattr schon die tatsächliche Situation nicht klar. Denn die zentrale Frage lautet zunächst, welche Daten von Facebook und/oder Flattr genau erhoben und gespeichert werden. Wenn z.B. bei Flattr nur die Daten derjenigen erhoben werden, die sich bei dem Dienst registriert haben, dann ist die datenschutzkonforme Ausgestaltung möglich und letztlich davon abhängig, welche Datenschutzerklärungen im Rahmen der Anmeldung verwendet werden.

Weiß denn überhaupt jemand genau, welche Nutzerdaten Facebook erhebt und speichert, wenn der Like-Button extern auf Blogs oder Websites eingebunden ist? Über Antworten würde ich mich freuen.

Wer unlängst für sein iPhone ein Update auf die neueste Version des Betriebssystems iPhone OS4 gemacht hat oder sonst den iTunes-Store nutzt, hat von Apple eine Änderung der Nutzungsbedingungen und der Datenschutzrichtlinie untergeschoben bekommen, die mit deutschem und europäischem Datenschutzrecht schwerlich vereinbar ist. Neu ist in der Datenschutzrichtlinie z.B. folgende Klausel:

„Um standortbezogene Dienste auf Apple-Produkten anzubieten, können Apple und unsere Partner und Lizenznehmer präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geographischen Standorts Ihres Apple-Computers oder Geräts in Echtzeit.

Man stößt aber auch auf weitere bedenkliche Klauseln wie:

„Mitunter wird Apple bestimmte personenbezogene Daten an strategische Partner weitergeben, die mit Apple zusammenarbeiten, um Produkte und Dienste zur Verfügung zu stellen, oder die Apple beim Marketing gegenüber Kunden helfen. Wenn Sie beispielsweise Ihr iPhone kaufen und aktivieren, ermächtigen Sie Apple und seinen Mobilfunkanbieter zum Austausch der Daten, die Sie während des Aktivierungsprozesses bereitstellen, um den Dienst zu ermöglichen. Wenn Sie für den Dienst zugelassen werden, gelten die Datenschutzrichtlinien von Apple bzw. seinem Mobilfunkanbieter für Ihren Account. Die personenbezogenen Daten werden von Apple nur weitergegeben, um unsere Produkte, Dienste oder unsere Werbung zu erbringen oder zu verbessern; sie werden nicht an Dritte für deren Marketingzwecke weitergegeben.“

Apple fordert im Zuge des iPhone-Updates nur allgemein dazu auf, den neuen, geänderten Nutzungsbestimmungen zuzustimmen. Eine ausdrückliche Einwilligung des Nutzers in die die Datenverarbeitung wird nicht eingeholt. Eine detailierte Information über den Umfang und den Zweck der Datenerhebung erfolgt ebenfalls nicht. Es ist insbesondere nicht ersichtlich, dass hierauf in hervorgehobener Weise hingewiesen worden ist, wie § 4a Abs. 1 BDSG verlangt. Wenn man an dieser Stelle die Vorschrift des § 13 TMG für anwendbar hält, ändert dies am Ergebnis nichts, denn die Voraussetzungen dieser Norm sind ebensowenig erfüllt, wie die von § 4a BDSG.

Apple muss nach beiden Vorschriften über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informieren und die ausdrückliche Einwilligung des Nutzers/Kunden einholen.

Bei Apple erfährt der Kunde allerdings den genauen Zweck der Datenerhebung nicht. Auch bleibt unklar, welche Daten im Einzelnen erhoben werden und an welche Dritte („strategische Partner“) diese Daten übermittelt werden.

Die Datenschutzrichtline von Apple verstößt damit evident gegen datenschutzrechtliche Bestimmungen.

Die sog. „Art. 29-Gruppe“ der EU, ein Gremium von Datenschützern, hat am 22.06.2010 eine Stellungnahme zum Thema „Online Behavioural Advertising“ veröffentlicht, in der kritsiert wird, dass die Online-Werbung vielfach nicht den Vorgaben des europäischen Datenschutzrechts entspricht.

Der Bundesdatenschutzbeauftragte Schaar, der Mitglied der Gruppe ist, weist in einer Pressemitteilung u.a. darauf hin, dass Cookies oft ohne ausdrückliche Einwilligung des Nutzers auf dessen Rechner abgelegt werden und auch bei der Sammlung von Nutzerdaten häufig nicht ausreichend informiert wird.

Die geplante Regelung des Beschäftigtendatenschutzes wird von verschiedenen Seiten deutlich kritisiert, insbesondere von Datenschützern, von Gewerkschaften und auch vom Deutschen Anwaltverein (DAV).

Der vielfach geäußerte Einwand, dass der vorgelegte Entwurf weitgehend Regelungen beinhaltet, die vor allem eine stärkere Überwachung der Arbeitnehmer ermöglichen und insgesamt den Arbeitgeber deutlich bevorzugen, ist nicht ganz von der Hand zu weisen. Es ist jedenfalls erkennbar, dass die geplante Neuregelung Befugnisse der Arbeitgeber zur Erhebung und Verarbeitung von Arbeitnehmerdaten schafft, die deutlich über das hinausgehen, was nach derzeitiger Rechtslage statthaft ist. So ist z.B. auch die Speicherung von Telekommunikationsdaten (Verkehrsdaten) zulässig, um eine stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrolle durchzuführen.

Wegen der Aufzeichnung von W-LAN-Daten durch Google im Rahmen der Street-View-Fahrten des Suchmaschinenbetreibers ermitteln auch in den USA nunmehr die Behörden.  Der „Attorney General“ des Bundesstaats Connecticut Blumenthal hat eine bundesstaatsübergreifende Untersuchung angekündigt, die die unerlaubte Sammlung personenbezogener Daten durch Google zum Gegenstand hat. Blumenthal sprach in diesem Zusammenhang wörtlich von:

„Google’s deeply disturbing invasion of personal privacy“

Das Europaparlament hat im Februar 2010 das bereits mit den USA vereinbarte Swift-Abkommen mit deutlicher Mehrheit abgelehnt und damit die Weitergabe von Bankdaten europäischer Bürger an die USA vorerst verhindert.

Nur kurze Zeit später wurde allerdings bereits über eine Neufassung verhandelt, die sich nach Aussagen der Bundesregierung durch ein hohes Datenschutzniveau auszeichnen soll.

Nunmehr liegt ein neuer Entwurf vor, der wenig greifbare Verbesserungen mit sich bringt. Die Anfrage der USA muss aber zumindest die Notwendigkeit der Übermittlung substantiiert begründen. Vor der Übermittlung soll das Gesuch durch Europol überprüft werden, was freilich den Nebeneffekt hat, dass Europol von diesen Daten vorab Kenntnis erlangt und diese Daten somit der europäischen Polizeibehörde zwangsläufig ebenfalls vorliegen und zwar selbst dann, wenn sich das Ersuchen der USA als unbegründet erweist.

Auch das Gegenseitigkeitsprinzip ist nach wie vor nicht verankert. Es ist schwer nachvollziehbar, dass Europa den USA Daten von Bürgern liefert, die im umgekehrten Fall zu US-Bürgern nicht angefordert werden können.

Die Bürgerrerchtsorganisation EDRi vertritt deshalb zu Recht die Ansicht, dass der neue Entwurf ebenso schlecht ist, wie die abgelehnte Fassung. Von dem hohen Datenschutzniveau, das Justizministerin Leutheusser-Schnarrenberger versprochen hatte, ist bislang wenig zu sehen.