Internet-Law

Im nächsten Jahr ist es wieder so weit, der Bund versucht sich erneut an einer großen Volkszählung. Das dafür notwendige „Gesetz über den registergestützten Zensus im Jahre 2011“ (ZensG 2011) ist bereits vor knapp einem Jahr in Kraft getreten. Anders als vor fast 30 Jahren werden viele Bürger von dieser Volkszählung nichts mitbekommen, da sie zumindest mehrheitlich nicht unmittelbar befragt werden. Stattdessen übermitteln verschiedenste Behörden Daten, die beim Statistischen Bundesamt zu einem kombinierten Datensatz zusammengeführt werden.

Für jede Anschrift, jedes Gebäude, jede Wohnung, jeden Haushalt und jede Person wird eine Ordnungsnummer vergeben und geführt.

Dass das für den Bürger nicht weniger grundrechtsintensiv ist als eine direkte Befragung, hat das Bundesverfassungsgericht im Volkszählungsurteil bereits angedeutet. Dort heißt es:

„Auch die Übernahme sämtlicher Daten aus bereits vorhandenen Dateien der Verwaltung ist keine zulässige Alternative zu der vorgesehenen Totalzählung. Denn die Nutzung von Daten aus verschiedenen Registern und Dateien würde voraussetzen, daß technische, organisatorische und rechtliche Maßnahmen getroffen werden, die es erst erlauben, diese Daten, bezogen auf bestimmte Personen oder Institutionen, zusammenzuführen. Eine solche Maßnahme wäre zum Beispiel die Einführung eines einheitlichen, für alle Register und Dateien geltenden Personenkennzeichens oder dessen Substituts. Dies wäre aber gerade ein entscheidender Schritt, den einzelnen Bürger in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren. Die Verknüpfung vorhandener Dateien wäre danach auch nicht das mildere Mittel.“

Dem Konzept, das der Gesetzgeber jetzt verfolgt, stand das Verfassungsgericht also schon im Volkszählungsurteil kritisch gegenüber. Die spannende Frage wird somit sein, ob das BVerfG die jetzige Zusammenführung der Daten und Verknüpfung mit einer Personenkennziffer für mit dem Recht auf informationelle Selbstbestimmung vereinbar hält. Nach den Maßstäben des Volkszählungsurteils dürfte das ZensG durchaus problematisch sein. Mittlerweile hat das Gericht aber viele Dinge deutlich relativiert, auch wenn dies nirgends explizit so nachzulesen ist. Zum Beispiel das Urteil über die Vorratsdatenspeicherung reicht nicht mehr an das Schutzniveau heran, das das Bundesverfassungsgericht vor einem Vierteljahrhundert postuliert hat. Hierauf scheint auch der Gesetzgeber zu hoffen.

Unter dem Dach des Arbeitskreises gegen Vorratsdatenspeicherung hat sich gerade eine Initiative gegen die Volkszählung 2011 gebildet, die das ZensG mit einer Verfassungsbeschwerde angreifen will.

Dass bislang öffentlich kaum über diese Volkszählung gesprochen und berichtet wurde, ist überraschend, passt aber zu der Tendenz, die Dinge erst aufzugreifen, wenn es schon fast zu spät ist.

Beim Europäischen Gerichtshof ist derzeit ein Verfahren anhängig, in dem es um das Spannungsverhältnis von Informationsfreiheit bzw. Informationsbedürfnis der Öffentlichkeit und dem Schutz personenbezogener Daten geht.

Art. 44a der Verordnung Nr. 1290/2005 (in der Fassung der Verordnung Nr. 1437/2007) über die Finanzierung der Gemeinsamen Agrarpolitik bestimmt, dass die Mitgliedsstaaten jedes Jahr nachträglich Informationen über die Empfänger von Agrarsubventionen zu veröffentlichen haben. Die Durchführungsbestimmungen (Verordnung Nr. 259/2008) sehen u.a. die namentliche Nennung des Zuwendungsempfängers und Angaben zum erhaltenen Betrag vor.

Hiergegen hat ein Betroffener vor dem Verwaltungsgericht Wiesbaden geklagt und eine Verletzung seines Rechts auf informationelle Selbstbestimmung geltend gemacht. Das VG hat die Rechtsfrage wiederum an den EuGH (Rechtssachen C?92/09 und C?93/09) vorgelegt.

Hierzu liegt nunmehr der Schlussantrag der Generalanwältin vom 17.06.2010 vor, die dem EuGH empfiehlt, Art. 44a der Verordnung Nr. 1290/2005 für ungültig zu erklären, soweit er ohne Weiteres die Veröffentlichung der Namen, Gemeinden und gegebenenfalls Postleitzahlen aller Empfänger zusammen mit den erhaltenen Beträgen, vorschreibt.

Patrick Breyer vom AK Vorrat begrüßt die Einschätzung der Generalanwältin in seinem Blog ausdrücklich.

Dem vermag ich mich nicht anzuschließen. Es geht letztlich um eine Abwägung zwischen dem Informationsbedürfnis der Öffentlichkeit bzw. der Informationsfreiheit aller Bürger und dem Interesse von Subventionsempfängern, anonym  bleiben zu können. Nur die namentliche Veröffentlichung aller Einzelempfänger, einschließlich der Höhe der jeweiligen Zuwendung, schafft die notwendige Transparenz, die es der Allgemeinheit ermöglicht, sich kritisch und im Detail mit dem System der Subventionierung auseinanderzusetzen. Wer Subventionen aus öffentlichen Mitteln in Anspruch nimmt, kann nicht erwarten, dass dieser Umstand vor der Allgemeinheit verborgen wird.

Der Datenschutz würde ansonsten, wie so häufig, dazu benutzt werden, um Informationen zu unterdrücken, an deren Veröffentlichung die Allgemeinheit ein berechtigtes Interesse hat.

Der Kollege Vetter ereifert sich – nicht ganz zu Unrecht – über eine Verordnung der Bundesinnenministeriums, die den schönen Namen „Verordnung über die Art der Daten, die nach den §§ 8 und 9 des Bundeskriminalamtgesetzes gespeichert werden dürfen“ trägt und die gerade die Zustimmung des Bundesrats erhalten hat.

Wer verstehen will, worum es geht, muss zunächst die §§ 8 und 9 des BKAG lesen, denn diese Vorschriften bilden nach § 7 Abs. 6 BKAG die gesetzliche Grundlage dieser Verordnung.

Ich muss gestehen, dass ich die Vorschrift des § 8 BKAG heute zum ersten Mal lese und ich muss weiter gestehen, dass ich speziell § 8 Abs. 2 BKAG auch nicht verstehe. Die Vorschrift lautet:

„Weitere personenbezogene Daten von Beschuldigten und personenbezogene Daten von Personen, die einer Straftat verdächtig sind, kann das Bundeskriminalamt nur speichern, verändern und nutzen, soweit dies erforderlich ist, weil wegen der Art oder Ausführung der Tat, der Persönlichkeit des Betroffenen oder sonstiger Erkenntnisse Grund zu der Annahme besteht, daß Strafverfahren gegen den Beschuldigten oder Tatverdächtigen zu führen sind.“

Weitere personenbezogene Daten – also über Abs. 1 hinaus – dürfen dann gespeichert werden, wenn Grund zu der Annahme besteht, dass gegen Beschuldigte oder Tatverdächtige ein Strafverfahren zu führen ist. Man möchte doch meinen, dass bei Beschuldigten und Tatverdächtigen regelmäßig Grund für die Einleitung eines Strafverfahrens besteht, im Falle von Beschuldigten muss sogar schon ein Ermittlungsverfahren bestehen, weil dieses Verfahren den Beschuldigtenstatus überhaupt erst begründet.

Was unter weitere personenbezogene Daten zu verstehen ist, besagt das Gesetz nicht, sondern überlässt es vielmehr dem Verordnungsgeber. Ob das allerdings der Vorgabe der sog. Wesentlichkeitstheorie entspricht, die besagt, dass der Gesetzgeber das Wesentliche selbst zu regeln hat und nicht der Exekutive überlassen darf, wird man bezweifeln dürfen.

Ein Blick in § 2 der Verordnung offenbart allerdings ein weiteres Problem. Denn dort wird keineswegs nur die Art der Daten näher bestimmt, wie der Titel der Verordnung vorgibt. Vielmehr wird der Kreis der Betroffenen Personen erheblich erweitert. Die Verordnung spricht von „Beziehungen zu Personen“ und „Gruppenzugehörigkeit“, von „Gefährdern“ und „relevante Person“.

Bei der Lektüre dieser Begriffe muss ich spontan an Heinrich Bölls „Die verlorene Ehre der Katharina Blum“ denken. Wer also in irgendeiner Beziehung zu einem Tatverdächtigen steht oder nur derselben Gruppe (Sportverein, Stammtisch?) angehört, kann auf diesem Umweg in einer Datei des BKA landen. Und relevant wird im Zweifel jede Person sein, die die Ermittlungsbehörden, aufgrund welcher absurden Umstände auch immer, für relevant erachten. Wenn man sich den uferlosen Katalog des § 2 der Verordnung ansieht, muss man ohne weiteres zu der Schlussfolgerung gelangen, dass diese Vorschrift von seiner gesetzlichen Ermächtigungsnorm nicht gedeckt ist.

Und der gesetzlichen Regelung selbst, insbesondere § 8 Abs. 2 BKAG, mangelt es nicht nur an der erforderlichen Normklarheit. Die Regelung wonach bei Beschuldigten Grund zur Annahme bestehen muss, dass gegen sie ein Strafverfahren geführt wird, stellt eine Tautologie dar.

Google hat nach einem Bericht der FT angekündigt, sämtliche Daten, die man bei den Street-View-Fahrten aus privaten W-LANs ausgelesen hat, den Datenschutzbehörden auszuhändigen.

Nachdem die Datenschutzbehörden für den nichtöffentlichen Bereich, zumindest in einigen Bundesländern, Stellen sind, die unmittelbar der Staatsregierung nachgeordnet sind, bedeutet das nicht weniger, als, dass der Staat damit an Daten von Bürgern gelangt, die er selbst in rechtmäßiger Art und Weise nie hätte erheben dürfen.

Und das ist im Ergebnis noch wesentlich bedenklicher als die Datenerhebung durch Google selbst.

Das sagt zumindest die Art. 29 Datenschutzgruppe der EU, ein Expertengremium dessen Aufgabe es ist, die Kommission in datenschutzrechtlichen Fragen zu beraten. Die Kritik richtet sich bei allen drei Unternehmen gegen ihre Suchmaschinenfunktionen, die nach Ansicht des Gremiums immer noch nicht den Vorgaben der Datenschutzrichtlinie genügen. Die Gruppe verlangt eine vollständige Anonymisierung der Daten von Suchmaschinennutzern.

Rechtsanwalt Dr. Damm hat ein Schreiben des Baden-Württembergischen Innenminsteriums veröffentlicht, das als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich darüber zu befinden hatte, ob Abmahnwarnungen im Netz, unter namentlicher Nennung des Abmahnenden und der ihn vertretenden Anwaltskanzlei, gegen das Datenschutzrecht verstoßen. Nicht zuletzt vor dem Hintergrund der „Spickmich“ Entscheidung des BGH (Az.: VI ZR 196/08) hat die Behörde einen Verstoß verneint.

Mir ist noch gut in Erinnerung, dass der Hamburgische Datenschutzbeauftragte vor ca. zehn Jahren gegenüber der Initiative Freedom For Links noch eine ganz andere Ansicht vertreten und eine solche Auflistung von Abmahnern als unzulässige Verarbeitung und Übermittlung personenbezogener Daten bewertet und einen Verstoß gerügt hat.

Solche Fälle zeigen, dass im Datenschutzrecht dringend eine eigenständige Regelung des Spannungsverhältnisses von Berichterstattung und Datenschutz nötigt ist. Denn § 29 BDSG ist dafür eigentlich nicht ausgelegt und § 41 BDSG normiert, zumindest für den Onlinebereich, ebenfalls kein Medienprivileg. Andererseits werden der Datenschutz und das allgemeine Persönlichkeitsrecht immer wieder bemüht, wenn es darum geht, eine unliebsame Berichterstattung oder die Information der Öffentlichkeit zu unterbinden. Die Behinderung kritischer Berichterstattung ist aber nicht Sinn des Datenschutzrechts.

Datenschützer und Verbraucherschützer beklagen nach einer Meldung der Nachrichtenagentur ddp Datenschutzverstöße des Handelskonzerns Rewe in seinen Supermarktketten.

Kunden unterschreiben dort bei einer EC-Kartenzahlung mit Unterschrift, also beim Lastschriftverfahren, angeblich gleichzeitig eine Erklärung über die Weitergabe ihrer Daten an ein Unternehmen für Zahlungsdienstleistungen und an zwei Wirtschaftsauskunfteien.

Wer im Supermarkt öfter per EC-Karte bezahlt, der weiß, dass man den Begleittext auf dem Unterschriftsbeleg nicht nur wegen des Zeitdrucks nicht liest, sondern auch wegen der fehlenden Vorlage einer Lupe durch die Verkäuferin.

Nach § 4a BDSG ist eine datenschutzrechtliche Einwilligung allerdings nur dann wirksam, wenn auf den Zweck der Datenverarbeitung hingewiesen wird und die Einwilligung besonders hervorgehoben ist, sofern sie zusammen mit anderen Erklärungen schriftlich erteilt wird. Ungeachtet dessen, wird die Klausel auch AGB-rechtlich wohl schwerlich wirksam einbezogen. Die Praxis von Rewe ist deshalb in der Tat rechtswidrig.

Der bayerische Innenminister Herrmann möchte offenbar zumindest gelegentlich die etwas härtere Gangart, die man früheren bayerischen Innenpolitikern stets nachgesagt hat, ebenfalls praktizieren.

Herrmann hat Google aufgefordert, die Aufnahmefahrten für den umstrittenen Dienst Street View vorläufig einzustellen und hat vorsorglich schon mal angedroht, ansonsten mit einer behördlichen Untersagungsverfügung vorzugehen. So viel Entschlossenheit würde man sich als besorgter Bürger von Herrmann auch bei Themen wie der Vorratsdatenspeicherung wünschen. ;-)

Update: Die angekündigte Verfügung wurde offenbar tatsächlich erlassen.

Die bayersiche Staatsregierung hat sich – gegen den Widerstand der Opposition – auf die Einführung einer Schülerdatenbank verständigt. Danach sollen die Schulen vor Ort gewisse personenbezogene Daten der Schüler speichern und anschließend anonymisiert an das Landesamts für Statistik – also keineswegs an das Kultusministerium – weiterleiten.

Die Kritik, die beispielsweise von den Grünen oder der Piratenpartei geäußert wird, ist sachlich ebensowenig nachvollziehbar wie das Gerede vom gläsernen Schüler.

Wer grundsätzlich der Meinung ist, dass wir in diesem Land ein Schulsystem brauchen, in dem Kinder unterrichtet und von Lehrern bewertet und benotet werden, wird sich der Erkenntnis nicht verschließen können, dass die Schule bzw. Schulleitung vor Ort zur Erfüllung dieser Aufgaben auch gewisse personenbezogene Daten der Schüler erheben und speichern muss. Schüler stehen aus gutem Grund in einem sog. besonderen Gewaltverhältnis zum Staat. Denn wenn der Staat seinem Bildungsauftrag nachkommen will, dann muss er zwangsläufig in gewissem Umfang Grundrechte der Kinder einschränken. Die allgemeine Schulpflicht sowie die Benotung und Bewertung von Schülern sind ebenfalls Grundrechtseingriffe, die niemand in Frage stellt.

Und wer nicht will, dass die Daten, die die Lehrer für die Bewertung und Förderung der Kinder benötigen, auf Karteikarten festgehalten werden, der wird auch einsehen müssen, dass an einer EDV-technischen Verarbeitung kein Weg vorbei führt. Diese Daten werden übrigens auch jetzt bereits erhoben, weil es anders gar nicht geht.

Die Grünen haben offenbar u.a. ein Problem damit, dass ein „Migrationshintergrund“ erfasst wird. Es ist nun leider aber nicht von der Hand zu weisen, dass Kinder mit Migrationshintergrund überdurchschnittlich häufig in Sprachförderunterricht müssen, weil deutsch nicht ihre tatsächliche Muttersprache ist. Die Erfassung solcher Daten muss deshalb nicht auf eine Diskriminierung abzielen, sondern kann vielmehr im Sinne einer gezielten Förderung der Kinder höchst sinnvoll sein.

Leider haben wir in diesem Land mittlerweile eine Datenschutz-Unkultur entwickelt, die dazu führt, dass auch notwendige Abläufe behindert werden. Die bayerische Schülerdatenbank in der jetzigen Form ist datenschutzrechtlich nicht bedenklich, der Widerstand gegen sie ist bildungspolitisch unvernünftig.

Google hat während seiner Street View Fahrten auch Nutzerdaten und nicht nur Standortdaten aus offenen W-LANs gespeichert. Diese Information, die von Google selbst an die Öffentlichkeit gebracht worden ist, hat zu einer neuen Welle der Empörung über den Suchmaschinengiganten geführt.  SpiegelOnline fragt in Bild-Zeitungs-Manier: „Wie kommt Schnüffelcode in das umstrittene Street-View-Projekt?“ Es ist fast überflüssig zu erwähnen, dass auch Politiker und Datenschützer wieder einmal empört sind.

Vor dem Hintergrund dieser Hysterie ist es immer hilfreich, die Einschätzung von Leuten zu bekommen, die Ahnung von den technischen Abläufen haben. Kristian Köhntopp erläutert den Vorgang in seinem Blog und gelangt zu folgender Schlussfolgerung:

„Die Software, die da zur Erfassung der WLAN-Daten geschrieben und betrieben worden ist folgt der Struktur, die die Technik und der WLAN-Standard der IEEE vorgeben. Das Vorgehen, das Google bei der Erfassung der Daten zeigt, ist logisch, vernünftig und in Deutschland illegal (§89 TKG und §202b StGB, wahrscheinlich).

Die Erklärungen, die Google für das Entstehen des Fehlers gegeben hat, sind in im Kontext der Standards und im Vergleich mit anderer Software, die ähnliches leistet, konsistent und schlüssig, der Fehler, der zu dem Problem geführt hat, ist naheliegend.“

Diese Aussage verdeutlicht zunächst, dass offenbar – und das ist gerade im Bereich des Datenschutzes nicht wirklich neu – eine gewisse Inkongruenz zwischen technischen Standards und gesetzlichen Regelungen besteht. Köhntopp macht aber auch deutlich, dass die These vom „Schnüffelcode“ nicht wirklich fundiert ist und SpiegelOnline, wie auch andere, schlicht der Versuchung einer reißerischen und verzerrten Darstellung erlegen ist.

Google könnte mit seinem Verhalten in der Tat den (objektiven) Tatbestand des § 202b StGB erfüllt haben, wenn beispielsweise vollständige E-Mails aufgezeichnet worden wären. Das dürfte angesichts dessen, was bekannt geworden ist, aber eher unwahrscheinlich sein. Datenfragmente, die quasi beiläufig gespeichert worden sind, reichen nicht aus. Ob es sich um ein Abhören i.S.v. § 89 TKG handelt, ist ebenfalls fraglich. Denn das würde voraussetzen, dass ein Dritter (Google) eine Kommunikation, die zwischen anderen Personen stattfindet, mithört. Das setzt aber wiederum eine Kenntnisnahme vom konkreten Inhalt eines Kommunikationsvorgangs voraus.

Es spricht eigentlich nicht gegen Google, dass das Unternehmen diese Datenerhebung von sich aus publik gemacht hat. Die Öffentlichkeit scheint das freilich anders zu sehen.