Internet-Law

Seit kurzem wird die Frage der datenschutzrechtlichen Zulässigkeit von Personensuchmaschinen wie Yasni diskutiert.

Das OLG Hamburg hat nun mit Beschluss vom 23.10.09 (Az.: 7 W 119/09) u.a. ausgeführt, dass Yasni selbst gar keine Daten verarbeitet, sondern nur die Fundstellen zu anderweitig bereits im Netz abrufbaren Daten bereitstellt.

Demgegenüber hat Jens Ferner unlängst die Ansicht vertreten, dass Personensuchmaschinen personenbezogene Daten erheben und zugleich wegen § 12 TMG auch gegen das geltende Datenschutzrecht verstoßen, weil es keine Rechtsvorschrift gebe, die eine solche Datenverarbeitung zur Bereitstellung des Dienstes gestatten würde.

Beide Ansichten halte ich für unzutreffend. Yasni verarbeitet entgegen der Ansicht des OLG Hamburg sehr wohl personenbezogene Daten. Wenn ich mir z.B. den Eintrag zu meiner Person bei Yasni anschaue, dann finde ich dort zu meinem Namen u.a. die Berufsbezeichnung Rechtsanwalt, den Namen und Telefonnummer unserer Kanzlei, sowie mehrere Fotos. Diese personenbezogenen Daten werden von Yasni somit also gesammelt, im Rahmen eines Profils gespeichert und zum Abruf bereitgehalten. Ein klassischer Fall von Datenerhebung und -verarbeitung.

Ist das aber auch zulässig? Was das Foto betrifft, kann dies nur mit einem klaren Nein beantwortet werden, weil ich eine Zustimmung nach § 22 KUG nicht erteilt habe. Ansonsten kann – entgegen der Ansicht von Ferner – aber grundsätzlich schon auf die Gestattung des § 28 oder 29 BDSG zurückgegriffen werden, die u.a. eine Datenverarbeitung für eigene Geschäftszwecke erlaubt bzw. zum Zwecke einer Übermittlung, wenn die Daten allgemein zugänglich sind. Die §§ 12 ff. TMG sind insoweit nicht anwendbar, weil die hier in Rede stehenden Daten nicht von einem Nutzer zum Zwecke der Bereitstellung des Dienstes erhoben worden sind. Derjenige, dessen Daten bei Yasni präsentiert werden, ist nicht der Nachfrager und damit insoweit nicht Nutzer. Diese Daten werden aber auch nicht deshalb erhoben, um dem Nutzer den Dienst bereitzustellen. Nachdem das TMG diese Konstellation also gar nicht regelt, kann und muss auf das allgemeinere BDSG zurückgegriffen werden.

Es bleibt aber die Frage, ob bei einer Zusammenstellung von personenbezogenen Daten, wie man sie beispielsweise bei Yasni findet, nicht im Einzelfall wegen des entstehenden Persönlichkeitsprofils davon auszugehen ist, dass hier die schutzwürdigen Interessen der betroffenen Person so hoch zu bewerten sind, dass eine Datenverarbeitung ohne ausdrückliche Zustimmung unzulässig ist. Diese Fragen werden in Zukunft noch zu diskutieren sein.

Die Entscheidung des OLG Hamburg enthält daneben auch durchaus interessante Ausführungen zur Haftung des Suchmaschinenbetreibers. Anders als unlängst das Landgericht Köln geht das OLG Hamburg nicht von einem Zueigenmachen der von der Personensuchmaschine zusammengestellten Informationen aus.

Update:
Ich wurde darauf hingewiesen, dass die Bilder bei Yasni, die sich in der rechten Spalte befinden, im Wege eines Inline-Links einbezogen werden und nicht auf dem Server von Yasni liegen. Das ändert allerdings meine rechtliche Einschätzung nicht, da sich diese Darstellung nicht von einer solchen unterscheidet, bei der die Bilddatei auf dem eigenen Server liegt. Tim-Berners-Lee hat das übrigens als „Embedded-Link“ bezeichnet und zu Recht darauf hingewiesen, dass man insoweit nicht von einem normalen, referenzierenden Link sprechen kann.

Endlich hat der Insolvenzverwalter von Quelle doch noch etwas gefunden, das sich versilbern lässt. Die Daten von 8 Millionen Kunden.

Nur gut, dass die Lobbyisten bei der jüngsten Novelle des Bundesdatenschutzgesetzes die Abschaffung des Listenprivileg (§ 28 Abs. 3 S. 2 BDSG) gerade noch abwenden konnten. Denn sonst würde die notleidende Insolvenzmasse von Quelle noch schlechter dastehen. Vielleicht bekommt der Insolvenzverwalter jetzt aber auch massenhaft Schreiben von Quellekunden, die der Weitergabe ihrer Daten widersprechen. Zu wünschen wäre es ihm.

Die Verbraucherzentrale bietet den Kunden ein entsprechendes Musterschreiben.

Wie bereits in meinem gestrigen Blogbeitrag angekündigt, habe ich als vom Datenskandal der Postbank betroffener Kunde Auskunftsansprüche nach dem Bundesdatenschutzgesetz geltend gemacht:

Auskunftsverlangen nach § 34 BDSG

Sehr geehrte Damen und Herren,

als Kunde der Postbank habe ich mit Befremden zur Kenntnis genommen, dass Sie Presseberichten zufolge, 4000 freien Handelsvertretern unmittelbaren Zugriff auf Kundenkonten ermöglicht haben. Hierbei ist der Einblick in sämtliche Kontobewegungen möglich gewesen.

Ihr Unternehmen hat dies heute im Grundsatz bestätigt und mit dem ungeheuerlichen Hinweis verbunden, dass diese Praxis bislang nicht beanstandet worden sei. In diesem Zusammenhang weise ich darauf hin, dass Ihr Verhalten sowohl einen eklatanten Verstoß gegen geltendes Datenschutzrecht darstellt, als auch eine Verletzung des bestehenden Girovertrags.

Aus diesem Grunde sehe ich mich gezwungen, von meinem Auskunftsrecht nach § 34 BDSG Gebrauch zu machen und fordere Sie auf, mir bis spätestens zum 06.11.2009 einzeln aufgeschlüsselt mitzuteilen, welche Daten zu meiner Person Sie zu welchem Zeitpunkt an freie Handelsvertreter oder andere Dritte weitergegeben haben und wer (namentlich benannt) die Empfänger dieser Daten waren. Außerdem haben Sie mitzuteilen und aufzulisten, welche Personen (vollständig namentlich benannt) die nicht Angestellte oder Arbeitnehmer der Postbank sind, Zugriff auf meine Bank- und Kontodaten hatten.

Bereits jetzt mache ich Sie darauf aufmerksam, dass ich eine pauschale Antwort dergestalt, dass Sie keine Daten weitergegeben haben, nicht akzeptieren werde, da meine Kontozugangsdaten an diese „freien Handelsvertreter“ in jedem Fall übermittelt worden sein müssen, weil diese andernfalls gar nicht in die Lage versetzt worden wären, auf Kundenkonten zuzugreifen.

Sollten Sie keine ausreichende Auskunft erteilen, haben Sie mit einer gerichtlichen Inanspruchnahme zu rechnen.

Vorsorglich widerspreche ich einer Weitergabe meiner personenbezogenen Daten an Dritte ausdrücklich.

Eine Kopie dieses Schreibens geht auch an Ihren betrieblichen Datenschutzbeauftragten.

Mit freundlichen Grüßen

Nachtrag:
Der Kollege Vetter hat die Postbank ebenfalls zur Auskunft aufgefordert

Dieser Bericht von Heise hat mich aufgeschreckt, weil ich selbst ein Girokonto bei der Postbank habe. Heise berichtet, die Postbank würde 4000 freien Handelsvertretern Zugriff auf Girokontodaten der Kunden gewähren. Die freien Mitarbeiter hätten Einsicht in alle Kontobewegungen, berichtet Heise unter Berufung auf Stiftung Warentest.

Ich werde das zum Anlass nehmen, gegenüber der Postbank von meinem Auskunftsanspruch nach § 34 Bundesdatenschutzgesetz Gebrauch zu machen. Danach kann man als Betroffener Auskunft über die Empfänger verlangen, an die Daten weitergegeben werden (§ 34 Abs. 1 S. 1 Nr. 2 BDSG).

Gerade noch hat man sich über die Lücken bei SchülerVZ aufgeregt und schon kündigt Microsoft an, dass seine Suchmaschine Bing künftig auch die Statusmeldungen von Facebook-Nutzern indizieren und auffindbar machen will. Und Twitter-Postings wollen sowohl Google als Microsoft demnächst erfassen.

Ich vermute relativ stark, dass Microsoft und Google hierzu Verträge mit Facebook, Twitter und Co. abschließen, nachdem deren Inhalte bislang nicht in den Suchmaschinen auftauchen. Datenschutzrechtliche Bedenken scheint man, wie bei amerikanischen Unternehmen üblich, keine zu haben.

Eigentlich sollten soziale Netzwerke die Daten ihrer Nutzer – auch die in der Community frei einsehbaren Profildaten – besser schützen. Die Entwicklung scheint freilich in die gegenteilige Richtung zu gehen, was, wenn man nur die wirtschaftlichen Interessen der beteiligten Player betrachtet, natürlich auch nahe liegt. Peter Schaar, bitte übernehmen Sie.

Das soziale Netzwerk SchülerVZ ist in den letzten Tagen in die Schlagzeilen geraten, weil dort offenbar in großem Umfang Nutzerdaten kopiert und weitergegeben worden sind. In den Nachrichtenmedien wird von Datenklau gesprochen, was den Eindruck erweckt, als hätte sich jemand mit Hackermethoden Nutzerdaten verschafft.

Das ist freilich nicht der Fall. Es handelt sich um frei zugängliche Daten, die jedes Mitglied der Community von SchülerVZ aufrufen kann, weil die Daten vorher von dem Berechtigten selbst eingestellt worden sind. Nachdem SchülerVZ auch keine ausreichenden Vorkehrungen gegen eine automatisierte Erhebung dieser Daten ergreift, ist es möglich, diese Daten mit Crawlern zu erfassen. Das wurde auch in der Vergangenheit, teilweise im Rahmen studentischer Projekte, schon vorgeführt. Es sind also weder besondere technische Fähigkeiten erforderlich noch werden geschützte Zugänge geknackt.

Das Problem resultiert primär daraus, dass die VZ-Gruppe, der Betreiber von Plattformen wie Schüler- und StudiVZ nicht ansatzweise für die Datensicherheit sorgt, die man als Nutzer eigentlich erwarten darf.

Wie ist nun das Vorgehen des „Datendiebs“ rechtlich zu bewerten? Eine Strafbarkeit wegen Ausspähens von Daten (§ 202a StGB) scheidet nach meiner Einschätzung aus. Strafbar macht sich danach nämlich nur, wer sich Daten verschafft, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugriff besonders gesichert sind.

Wenn der Täter Mitglied von SchülerVZ ist, dann kann er die Daten, wie jeder andere Nutzer auch, bestimmungsgemäß einsehen. Die Daten sind also für ihn bestimmt. Dass er sie möglicherweise zweckwidrig verwendet, ändert daran nichts. Auch eine Sicherung gegen unberechtigten Zugriff gibt es bei SchülerVZ offenbar nicht. Die Daten sind vielmehr ohne weiteres mittels sog. Bots erfassbar.

Das Verhalten des „Täters“ verstößt möglicherweise gegen Bestimmungen des Datenschutzrechts. Wobei man sich insoweit vor Augen führen sollte, dass Personensuchmaschinen wie Yasni auch nicht anders agieren. Und das Verhalten des Täters verstößt schließlich auch gegen die Nutzungsbedingungen von SchülerVZ, was allerdings nur ein zivilrechtliches Fehlverhalten im Verhältnis zum Plattformbetreiber darstellt.

Die Datenschützer sollten m.E. nicht immer nur darauf hinweisen, dass die Bürger und Nutzer mit ihren Daten vorsichtiger umgehen müssen. Denn das ist angesichts des Umstandes, dass Millionen von Menschen mittlerweile Profile bei Facebook, MySpace, Xing, Lokalisten etc. haben, wenig zielführend. Vielmehr sollten die Betreiber von sozialen Netzwerken verpflichtet werden, die Daten ihrer Nutzer gegen automatisierte Erfassung effektiv zu schützen.

Die Piratenpartei ruft unter dem Motto „OptOutDay“ am heutigen Tag dazu auf, bei seinem Einwohnermeldeamt vorstellig zu werden und dieses aufzufordern den eigenen Namne aus dort geführten offenen Listen zu streichen, um die Weitergabe personenbezogener Daten, wie zum Beispiel Adresse oder Geburtsdatum an Dritte zu unterbinden.

Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert fordert offenbar ein eigenes Datenschutzgesetz für das Internet. Hintergrund ist das gestern bekannt gewordene Gutachten, wonach sich mehr als 1/4 der Arbeitgeber vor einem Vorstellungsgespräch im Internet über ihren Bewerber informieren.

Dass die Unternehmer dies machen, ist wenig überraschend, weshalb ich die öffentliche Aufregung hierüber auch ich nicht wirklich nachvollziehen kann. Schließlich hat ein Arbeitgeber ein durchaus legitimes Interesse daran, sich über die Person und Qualifikation eines Bewerbers zu informieren. Hierbei greift er auch nur auf frei zugängliche Informationen zurück, die die Betroffenen oftmals selbst ins Netz gestellt haben.

Ob es Aufgabe des Datenschutzrechts sein kann, derartige Recherchen zu reglementieren, wage ich zu bezweifeln. Vielmehr sind es Forderungen wie die des Landesdatenschutzbeauftragten Weichert, die den Datenschutz immer wieder in Misskredit bringen und Wasser auf die Mühlen derjenigen gießen, die das Datenschutzrecht ohnehin für deutlich überzogen halten.

Die Verweigerung des Zugangs zu personenbezogenen Daten, die der Betroffene selbst und freiwillig öffentlich zugänglich gemacht hat, würde außerdem einen datenschutzrechtlichen Paradigmenwechsel bedeuten, weil man sich in vielen Fällen über den ausdrücklichen Willen des Betroffenen hinwegsetzen müsste. Es gibt schlicht eine ganze Menge Menschen, die sich bewusst im Netz präsentieren, auch um auf ihre beruflichen Qualifikationen aufmerksam zu machen. Sollen solche Informationen von möglichen Arbeitgebern auch nicht mehr recherchiert werden dürfen, obwohl der Betroffene seine Daten vielleicht gerade auch zu diesem Zweck ins Netz gestellt hat?

Die Frage, ob das Internet spezielle eigene datenschutzrechtliche Regelungen, die es ansatzweise im TMG bereits gibt, benötigt, ist durchaus diskutabel. Eine Einflussnahme auf die Zulässigkeit einer Recherche von fremden Inhalten, die für jeden Nutzer frei zugänglich sind, gehört aber nicht zu den regelungsbedürftigen Aspekten.

Das Missbrauchspotential der Vorratsdatenspeicherung ist enorm. Zu dieser Einschätzung sind praktisch alle vom Bundesverfassungsgericht im Rahmen der anhängigen Verfassungsbeschwerden befragten Sachverständigen gelangt, wie der AK Vorrat berichtet.

Die Verbraucherzentrale Bundesverband (vzbv) hat nach einer eigenen Pressemitteilung vom 14.07.09 gegen die sozialen Netzwerke MySpace, Facebook, Lokalisten, wer-kennt-wen.de und Xing Unterlassungsverfahren eingeleitet.

Der Verband forderte die Anbieter auf, Voreinstellungen für die Nutzung personenbezogener Daten schon bei der Registrierung nutzerfreundlich zu gestalten. Die Nutzer müssen nach Ansicht der Verbraucherschützer auch selbst darüber entscheiden können, ob ihre Daten über Suchmaschinen aufzufinden sind. Auch urheberrechtliche Klauseln wurden beanstandet, vor allem wegen den z.T. sehr umfangreichen Nutzungsrechten an Inhalten und Bildern die von den Nutzern eingestellt werden.