Internet-Law

Netzpolitik.org berichtet über ein neues Datenleck bei SchülerVZ und davon, dass man 1,6 Millionen Datensätze, quasi als Beleg, zugeschickt bekommen hat.

Diese neue Meldung fand ich u.a. auch deshalb interessant, weil der Justitiar der VZ-Gruppe Dr. Schenk bei einem Vortrag am 30.04.2010 auf dem Reh..Mo Sysmposium in Passau noch betont hatte, dass Datenschutz bei der VZ-Gruppe oberste Priorität habe, dass man in diesem Punkt mittlerweile damit auch bei Tests von Verbrauchermagazinen gewinnen würde und man dies zudem als Wettbewersbvorteil gegenüber der amerikanischen Konkurrenz sehe.

Dass es in der Praxis freilich anders aussieht, zeigt der Bericht von netzpolitik.org. Man muss allerdings auch immer wieder betonen, dass es sich bei diesen Daten nicht um vertrauliche Nutzerdaten handelt, sondern vielmehr um solche Daten, die die Nutzer selbst offen eingestellt haben und die grundsätzlich jeder registrierte Nutzer von SchülerVZ einsehen kann. Woran man sich zu stören scheint, ist deshalb der Umstand, dass sich diese Daten mittels eines Crawlers automatisiert abgreifen und zusammenführen lassen.

Nach einer Entscheidung des EuGH, über die ich berichtet habe, erbringen die Datenschutzaufsichtsbehörden der Länder für den nichtöffentlichen Bereich ihre Aufgaben nicht „in völliger Unabhängigkeit“. Damit sind die Vorgaben der Datenschutzrichtlinie nicht eingehalten worden. Die u.a. für die Datenschutzkontrolle bei Unternehmen zuständigen Stellen müssen nunmehr aus der behördlichen Hierarchie ausgegliedert werden.

Eine Bund-Länder-Arbeitsgruppe die entsprechende Modelle erarbeiten soll, nimmt nach Presseberichten in dieser Woche die Beratungen auf.

Unter dem Titel „Rechtliche Einordnung von Webcams“ geht Ann-Karina Wrede in der aktuellen Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD 2010, 225) in einem lesenswerten Aufsatz der Frage nach, ob der Einsatz von Webcams im öffentlichen Raum, also zum Beispiel auf öffentlichen Plätzen oder an touristisch interessanten Orten, gegen Rechtsvorschriften verstoßen kann. Die Autorin befasst sich dabei mit den Vorschriften des Bundesdatenschutzgesetzes zur Videoüberwachung (§ 6b BDSG) und mit den Normen zum Schutz des Rechts am eigenen Bild (§§ 22, 23 KUG).

Sofern die Webcam nicht der Beobachtung dient, sondern dazu, Übersichtsaufnahmen von einem Ort anzufertigen, ist nach Ansicht von Wrede ein Personenbezug nicht gewollt und beabsichtigt, weshalb die Vorschrift des § 6b BDSG nicht zur Anwendung gelangt. Denn eine Videoüberwachung im Sinne des Bundesdatenschutzgesetzes liegt nur dann vor, wenn die Tätigkeit des Betreibers der Webcam auch darauf gerichtet ist, Geschehnisse und Personen zu überwachen.

Demgegenüber greift der Schutz des KUG schon dann ein, wenn Personen erkennbar und identifizierbar sind. Die Autorin geht insoweit allerdings davon aus, dass die Personen in aller Regel nur „Beiwerk“ einer Örtlichkeit sind und beiläufig erfasst werden, weshalb die Gestattung nach § 23 Abs. 1 Nr. 2 KUG eingreifen kann. Allerdings rät Wrede dazu, die Webcam, die öffentliche Plätze erfasst, so einzustellen bzw. aufzustellen, dass Personen nicht identifiziert werden können. Sobald eine (deutliche) Erkennbarkeit von Personen möglich ist, wird nämlich in deren Rechte eingegriffen.

Update: Der Aufsatz ist auch im Volltext online

Der Hamburger Senat fordert, dass in das Bundesdatenschutzgesetz eine spezielle Regelung für Dienste wie Google Street View aufgenommen wird.

Diese Regelung soll Google u.a. verpflichten, Gesichter und Kfz-Kennzeichen unkenntlich zu machen, bevor die Bilder ins Netz gestellt werden. Außerdem soll Google verpflichtet werden, einen Monat vor dem systematischen Abfilmen den Datenschutzbeauftragten und die Öffentlichkeit zu informieren. Ferner sollen Hauseigentümer und Mieter ein uneingeschränktes Widerspruchsrecht gegen die Abbildung ihrer Gebäude erhalten. Verstöße sollen mit Bußgeld von bis zu 50.000 € belegt werden.

Es setzt sich offenbar langsam die Erkenntnis durch, dass es mit der von Datenschützern progagierten Unvereinbarkeit von Street View mit geltendem Datenschutzrecht doch nicht so weit her ist und man wohl neue, schärfere gesetzliche Regelungen benötigt, um Dienste wie Street View einzubremsen. Damit ist die Frage der Sinnhaftigkeit derartiger Regelungen aber noch längst nicht beantwortet.

Quelle: Juris

Facebook hat in letzter Zeit seine Nutzungsbedingungen einseitig geändert, ohne die Zustimmung der Nutzer einzuholen. Aber geht das tatsächlich so einfach, oder hätte Facebook vielmehr jeden einzelnen Nutzer fragen müssen? Zuletzt hatte Facebook eine Nutzerabstimmung durchgeführt, um der Kritik entgegenzutreten.

Die Nutzungsbedingungen von Facebook stellen nach deutschem Recht Allgemeine Geschäftsbedingungen (AGB) dar. Nach der Rechtsprechung sind Klauseln, die AGB ändern, bei sog. Dauerschuldverhältnissen in gewissem Umfang zulässig.  Die Änderung ist aber nach Ansicht des Bundesgerichtshofs nur dann zulässig, wenn eine nachträgliche Äqivalenzstörung (Störung des Verhältnisses von Leistung und Gegenleistung) vorliegt oder eine Anpassung an eine geänderte Rechtslage vorzunehmen ist. In jedem Fall muss ein gewichtiger sachlicher Grund vorliegen.  Aber auch dann müssen die Änderungsklauseln transparent gefasst sein. Das bedeutet, dass die Regelung so klar und verständlich formuliert sein muss, dass der Nutzer erkennen kann, unter welchen Umständen eine solche Änderung erfolgt.

Wenn man sich jetzt die Nutzungsbedingungen von Facebook ansieht, dann heißt es in Ziff. 13 dazu lapidar:

Wir können diese Erklärung ändern und werden dich über die Facebook Site Governance-Seite darüber informieren und dir eine Möglichkeit zur Reaktion auf die entsprechende(n) Änderung(en) geben.

Diese Klausel lässt jegliche Transparenz vermissen und erläutert noch nicht einmal ansatzweise, unter welchen Umständen und nach welchen Kriterien eine Änderung der Nutzungsbedingungen in Betracht kommt.

Die Klausel verstößt damit gegen das Transparenzgebot (§ 307 Abs. 1 S. 2 BGB) und ist unwirksam. Das bedeutet dann allerdings auch, dass eine einseitige Änderung der Nutzungsbedingungen durch Facebook den deutschen Nutzern gegenüber auf Basis dieser Klausel nicht möglich ist.

Das dürfte Facebook freilich wenig kümmern, solange man rein faktisch nach den neuen, selbst gesetzten Bedingungen agieren kann.

Es ist mehr als erstaunlich, dass sich dieDatenschützer derzeit primär über Google aufregen und dabei Vorgänge beanstanden, die noch nicht einmal eindeutig rechtswidrig sind, während der wesentlich bedenklichere Akteur Facebook kaum behelligt wird.

Es stellt sich auch die Frage, weshalb Verbraucherschutzverbände und Datenschutzbehörden nicht gegen die in mehreren Punkten rechtswidrigen Nutzungs- und Datenschutzbedingungen von Facebook vorgehen.

Der Bundesdatenschutzbeauftragte hat, wie es in einer Pressemitteilung heißt, über eine andere europäische Datenschutzbehörde erfahren, dass Google-Street-View-Fahrzeuge auch mit einem Scanner für WLAN-Netze ausgestattet sind. Peter Schaar zeigte sich „entsetzt“ und forderte Google auf, die „rechtswidrig erhobenen“ Daten zu löschen.  Das Thema hat zu einer breiten Medienberichterstattung von Bild bis FAZ geführt.

In einem Beitrag für Telemedicus kritisiert Adrian Schneider die Reaktion der Datenschützer und vertritt die Ansicht, dass es nur dann zu einer Erhebung personenbezogener Daten kommt, wenn der Betreiber des W-Lans dem Netz seinen eigenen Namen gibt.

Die Frage lautet stets, ob die Daten die erhoben werden einer Person zugeordenet werden können und damit Personenbezug aufweisen. Was Schneider allerdings nicht anspricht, ist die Möglichkeit, die Daten des W-Lans (Mac-Adresse und SSID) mit der postalischen Adresse (Ort, Straße, Hausnummer) zu verknüpfen, wodurch sich in vielen Fällen erst durch die Kombination ein Personenbezug ergibt. Google hat sich vermutlich auch deshalb beeilt zu versichern, dass die erhobenen W-Lan Daten gerade nicht für Street View benutzt werden. Andererseits legt Google einen immer größeren Daten-Pool an, von dem keiner genau weiß, wie die Daten benutzt und verknüpft werden.

Das Problem ist hierbei auch die sehr weite Definition des Rechtsbegriffs der personenbezogenen Daten. Die Datenschutzrichtlinie sieht den erforderlichen Personenbezug nach ihrem Art. 2 a) bereits dann als gegeben an, wenn eine Person direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen. Und das ist der Grund dafür, dass die Kombination der oben genannten Informationen zumindest in einem Teil der Fälle eben doch eine Person bestimmbar macht.

Man kann der Rechtsansicht der Datenschützer meines Erachtens deshalb nicht wirklich widersprechen, aber man kann sich an der geäußerten Empörung stören. Denn das europäische Datenschutzrecht ist nicht internetkonform und es muss dringend ergänzt werden. Im Zuge dessen sollte eine öffentliche Diskussion darüber geführt werden, wie man den Datenschutz einerseits und die Funktionsfähigkeit des Netzes und damit auch die Grundrechte auf Meinungs- und Informationsfreiheit andererseits in einen sachgerechten Ausgleich bringt.

Nach einem Urteil des Landgerichts Köln vom 17.03.2010(Az.: 28 O 612/09) ist eine Veröffentlichung von Schuldnerdaten zu rechtskräftig titulierten Forderungen im Internet im Rahmen einer sog. Titelbörse, auf der Vollstreckungstitiel gehandelt werden, zulässig.

Das Landgericht hat einen Unterlassungsanspruch verneint und insbesondere auch keinen Verstoß gegen Vorschriften des Datenschutzrechts erkennen können. Nach Ansicht des Landgerichts Köln ist die Datenübermittlung nach § 29 Abs. 2 Nr. 1 und 2 BDSG zulässig.

Zum 01.04.2010 treten einige Änderungen des Bundesdatenschutzgesetzes in Kraft. Telemedicus bietet eine gute und kritische Übersicht zu den Neureglungen.

Neu sind u.a. die Vorschriften von § 28a BDSG (Datenübermittlung an Auskunfteien) und § 28b BDSG (Scoring).  Auch die Auskunftsrechte der von einer Verarbeitung personenbezogener Daten Betroffener sind erweitert worden. § 34 Abs. 2 BDSG sieht nunmehr vor, dass im Falle eines sog. Scoring Auskunftsansprüche über die in den letzten sechs Monaten erhobenen Daten bestehen und die verantwortliche Stelle zudem verpflichtet ist, die Bedeutung der Wahrscheinlichkeitswerte in allgemein verständlicher Form zu erläutern. Auf solche Erläuterungen darf man wirklich gespannt sein.

Während ich in Tegel auf meinen Rückflug nach München warte, ist noch ein bisschen Zeit für eine kurze Zusammenfassung des gestrigen Kongresses von eco und MMR der im Bundesministerium der Justiz stattfand.

Die Frage „Internet – (k)ein rechtsfreier Raum?“ stellt mittlerweile eigentlich eine Platitüde dar. Als erster Redner betonte Michael Rotert vom Providerverband eco dann auch zu Recht, dass das Internet noch nie ein rechtsfreier Raum gewesen ist.

Anschließend sprach Irene Pakuscher vom BMJ und positionierte sich deutlich gegen das Modell einer Kulturflatrate. Sie bezeichnete die Idee gar als Zwangskollektivierung. Während des Vortrags von Frau Pakuscher nahm dann Markus Beckedahl von netzpolitik.org neben mir Platz und tippte sogleich ersten Blogbeitrag zur laufenden Veranstaltung auf seinem MacBook.

Als nächster Referent beschäftigte sich Rechtsanwalt Dieter Frey mit dem Thema Leistungsschutzrechte für Verlage. Frey warf die Frage auf, ob die Verlage zunächst alle Nutzer als Rechtsverletzer qualifizieren lassen wollen, um diese Rechtsverletzung anschließend über eine Zahlung an eine neu zu gründende Verwertungsgesellschaft wieder zu beseitigen. Zu diesem Thema gibt es bereits Folien eines anderen Vortrags von Dr. Frey.

Der Vortrag von Arnd Haller, Justitiar bei Google Deutschland, war pointiert und klang fast ein bisschen wütend. Haller sagte, dass Google nur die Wahl hätte zwischen Zensur und Gefängnis und spielte damit auf eine strafrechtliche Verurteilung von Google Managern in Italien wegen eines Videos auf YouTube an. Haller vertrat außerdem die Ansicht, die jetzigen Haftungsregelungen würden der Zensur Vorschub leisten. Seines Erachtens wird derzeit aus Angst vor Haftung insgesamt zu schnell gelöscht.

Haller sprach sich ferner für einen Vorrang der Inanspruchnahme des unmittelbaren Rechtsverletzers aus und damit für die Einführung einer Subsidiaritätsregelung im deutschen Recht.

Staatssekretär Max Stadler (FDP) betonte in seiner Rede, dass das BMJ Netzsperren ablehnt, aber für ein Leistungsschutzrecht zugunsten von Verlagen eintritt.

In der abschließenden Diskussion entspann sich ein interessantes Rededuell zwischen Gerhart Baum und dem früheren Verfassungsrichter Wolfgang Hoffmann-Riem. Baum warf dem Bundesverfassungsgericht vor, bei der Entscheidung zur Vorratsdatenspeicherung nicht den Mut gehabt zu haben, die Speicherung als solche in Zweifel zu ziehen und das Verfahren dem EuGH vorzulegen. Hoffmann-Riem antwortete mit der Frage, ob Baum denn ernsthaft glauben würde, der EuGH hätte die Richtlinie zur VDS dann tatsächlich gekippt. Ein sehr aufschlussreicher Wortwechsel wie ich finde.

Der Kollege Vetter verweist auf ein Gustostück im Zusammenhang mit dem umstrittenen Elektronischen Entegltnachweis hin. Man speichert zwar seit 01.01.2010 munter Arbeitnehmerdaten, teilt aber gleichzeitig mit, dass man vor 2012 den Betroffenen keine Auskunft über die gespeicherten Daten erteilen will.

Auf diese Auskunft haben die Betroffenen allerdings nicht nur Anspruch nach dem Gesetz (§ 103 Absatz 4 SGB IV). Dieses Auskunftsrecht ist vielmehr ein Ausfluss des Grundrechts auf informationelle Selbtbestimmung. Hier maßt sich also eine Behörde wieder einmal an, ein Gesetz nicht anzuwenden und verletzt damit auch gleichzeitig das Grundrecht der betroffenen Bürger.

Tausende Bürger entschließen sich auch gerade dazu, ELENA vor dem Bundesverfassungsgericht anzugreifen.