Internet-Law

Das Bundesverfassungsgericht hat entschieden, dass eine polizeiliche Identitätsfeststellung von Personen, die Polizeibeamten filmen, nicht ohne weiteres zulässig ist (Beschluss vom 24.07.2015, Az.: 1 BvR 2501/13). Es muss vielmehr tragfähige, konkrete Anhaltspunkte dafür geben, dass der filmende Bürger den Film unter Verstoß gegen das KUG veröffentlichen will. Das BVerfG stellt nebenbei nochmals klar, dass es grundsätzlich zulässig ist, Polizeibeamte zu Beweiszwecken zu filmen und zu fotografieren. In dem Beschluss des BVerfG heißt es dazu:

Hiergegen verstieße es, wenn das Anfertigen von Lichtbildern oder Videoaufnahmen eines Polizeieinsatzes unter Verweis auf die bloße Möglichkeit einer nachfolgenden strafbaren Verletzung des Rechts am eigenen Bild (nach § 22 Satz 1, § 33 Abs. 1 KunstUrhG) genügen sollten, um polizeiliche Maßnahmen wie eine Identitätsfeststellung gemäß § 13 Abs. 1 Nr. 1 Nds.SOG durchzuführen. Wer präventivpolizeiliche Maßnahmen bereits dann gewärtigen muss, wenn sich nicht ausschließen lässt, dass sein Verhalten Anlass zu polizeilichem Einschreiten bietet, wird aus Furcht vor polizeilichen Maßnahmen auch zulässige Aufnahmen (zur grundsätzlichen Zulässigkeit des Filmens und Fotografierens polizeilicher Einsätze vgl. BVerwGE 109, 203 <210 f.>) und mit diesen nicht selten einhergehende Kritik an staatlichem Handeln unterlassen. Beabsichtigt die Polizei, wegen Lichtbildern und Videoaufnahmen präventivpolizeilich – sei es durch ein Film- oder Fotografierverbot (vgl. BVerwGE 143, 74 <77 ff.>), sei es wie hier durch eine Identitätsfeststellung – einzuschreiten, ergibt sich aus den durch die Maßnahme jeweils betroffenen Grundrechten – hier Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG – die Anforderung einer konkreten Gefahr für ein polizeiliches Schutzgut. Dies ist eine Frage der tatsächlichen Umstände im Einzelfall. Dementsprechend geht die verwaltungsrechtliche Rechtsprechung grundsätzlich in verfassungskonformer Auslegung der §§ 22, 23 KunstUrhG davon aus, dass unzulässige Lichtbilder nicht auch stets verbreitet werden (vgl. BVerwGE 109, 203 <211>). Gehen die Sicherheitsbehörden demgegenüber davon aus, dass im Einzelfall die konkrete Gefahr besteht, eine solche unzulässige Verbreitung sei ebenfalls zu befürchten, bedarf es hierfür hinreichend tragfähiger Anhaltspunkte.

Der EuGH hat mit Urteil vom heutigen Tag (Az.: C – 362/14), das sog. Safe-Harbor-Abkommen für ungültig erklärt. Das ist durchaus als Knaller zu bewerten.

Zwischen der EU-Kommission und den USA besteht ein datenschutzrechtliches Abkommen, das sich Safe Harbor nennt und, das es US-Unternehmen ermöglichen soll, Daten von EU-Bürgern in Übereinstimmung mit europäischem Recht zu verarbeiten. Dieses Abkommen ist oft kritisiert worden, weil amerikanische Unternehmen sich damit ohne effektive Kontrolle quasi selbst als datenschutzkonform einstufen können. Der Generalanwalt am Europäischen Gerichtshof hatte das Abkommen bereits als ungültig qualifiziert. Der EuGH ist diesem Votum jetzt gefolgt und führt als Schlussfolgerung seiner Entscheidung folgendes aus:

Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Der Jurist und Aktivist Max Schrems (Europe vs. Facebook) führt beim irischen High Court ein Verfahren, in dem geklärt werden soll, ob die irische Datenschutzbehörde sich darauf zurückziehen kann, dass die USA nach der Entscheidung der EU-Kommission datenschutzrechtlich ein sicherer Hafen seien oder ob sie vielmehr individuell prüfen muss, ob die Datenübermittlung in den Drittstaat USA gegen irisches bzw. europäisches Datenschutzrecht verstößt.

Konkret wehrt sich Max Schrems gegen die Sammlung und Speicherung seiner Daten durch Facebook und hat vor dem irischen High Court Klage gegen Facebook erhoben. Der High Court hat die zentrale Frage anschließend denm EuGH zur Beantwortung vorgelegt.

Heute hat der Generalanwalt beim EuGH seine Schlussanträge (Az.: 362/14) vorgelegt.

Der Generalanwalt stützt die Rechtsansicht von Max Schrems und vertritt die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Datenschutzbehörden nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Hierzu führt der Generalanwalt m.E. völlig zutreffend aus, dass die Kommission, wegen der gänzlich unabhängigen Stellung der nationalen Datenschutzbehörden überhaupt nicht ermächtigt ist, die Befugnisse der nationalen Kontrollbehörden zu beschränken.

Der Generalanwalt ist sogar der Ansicht, dass die Safe-Harbour-Entscheidung der Kommission ungültig ist.

Intreressant und aufschlussreich sind auch die Ausführungen des Generalanwalts zur Zusammenarbeit zwischen Facebook und der NSA. In der Pressemitteilung heißt es hierzu:

Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeutet der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.

Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen (…)

Das OLG Hamburg geht in einer neuen Entscheidung (Urteil vom 07.07.2015, 7 U 29/12) davon aus, dass ältere, ursprünglich rechtmäßig in das Internet eingestellte Beiträge in einem Internetarchiv einer Tageszeitung gegen das allgemeine Persönlichkeitsrecht eines Betroffenen verstoßen können, wenn ein zunächst bestehendes, allgemeines öffentliches Interesse an den berichteten Vorgängen durch Zeitablauf erloschen ist.

Dem Betroffenen steht dann gegen den Betreiber des Internetarchivs ein Anspruch darauf zu, es zu unterlassen, diese Beiträge in der Weise zum Abruf bereitzuhalten, dass sie durch Eingabe des Namens des Betroffenen in Internet-Suchmaschinen von diesen aufgefunden werden.

Der Betroffene kann also nicht die Löschung des Beitrags verlangen, sondern nur, dass der Archivbetreiber dafür sorgt, dass die betreffenden Beiträge nicht mehr von Suchmaschinen indiziert werden. Damit knüpft das OLG Hamburg ersichtlich an die Google-Entscheidung des EuGH an und bejaht damit eine Varainte des vieldiskutierten Recht auf Vergessen(werden).

Die maßgebliche Passage aus den Entscheidungsgründen hierzu lautet wie folgt:

Denn wenn – wenn auch auf datenschutzrechtlicher Basis – schon der Betreiber einer Suchmaschine dazu angehalten werden kann, die Erreichbarkeit von Internetbeiträgen durch bloße Eingabe des Namens der von diesen Beiträgen in erheblicher Weise betroffenen Personen zu unterbinden (EuGH, Urt. v. 13. 5. 2014, GRUR 2014, S. 895 ff.), dann kann es erst recht auch dem Urheber des betreffenden Beitrages – mag er auch das Presseprivileg für sich in Anspruch nehmen können – angesonnen werden, Vorkehrungen dagegen zu treffen, dass dieser Beitrag zu einer stetig fließenden Quelle von Beeinträchtigungen persönlichkeitsrechtlicher Belange des Betroffenen wird. Dass die Begründung eines Zustandes nicht rechtswidrig gewesen ist, steht seiner Beurteilung als Störung bei seiner Fortdauer nach den allgemeinen Grundsätzen nicht entgegen (s. z.B. BGH, Urt. v. 18. 11. 2014, Az. VI ZR 76/14; std. Rspr seit BGH, Urt. v. 12. 1. 1960, GRUR 1960, S. 500 ff., 502 ff.). Ein Verschulden des Störers setzt der Beseitigungsanspruch nicht voraus.

Für das Entstehen der Verantwortlichkeit des Betreibers des Internetforums für derartige Beiträge gelten nach Ansicht des OLG Hamburg die für die Verantwortlichkeit der Betreiber von Internetforen entwickelten Grundsätze. Das bedeutet, dass der Betreiber erst dann verpflichtet ist zu handeln und Vorkehrungen für die Nichtindexierung durch Google & Co. zu treffen, wenn er vom Betroffenen auf den Verstoß qualifiziert hingewiesen worden ist.

Diese Auffassung erscheint mir wenig konsequent, denn der Grund für eine Privilegierung von Forenbetreibern besteht ja grundsätzlich darin, dass sie für die Inhalte, die Dritte bei Ihnen eingestellt haben, nicht wie für eigene Inhalte, sondern nur abgeschwächt haften sollen. Nachdem es sich vorliegend aber um eigene Inhalte der Tageszeitung handelt, die das Archiv betreibt, erscheint diese Argumentation nicht stimmig.

Fraglich ist außerdem, ob man tatsächlich den Betreiber eines Archivs dazu verpflichten kann, bestimmte Inhalte nicht mehr für Suchmaschinen auffindbar zu machen. Der Erst-Recht-Schluss des OLG von Google auf den Archivbetreiber erscheint mir nicht zwingend. Unabhängig davon, lässt sich natürlich die Frage diskutieren, ob der hier streitige Inhalt nicht doch an seiner Quelle rechtmäßig bleibt und erst durch die Breitenwirkung einer Suchmaschine wie Google im Lichte der EuGH-Rechtsprechung rechtswidrig wird. Wenn dem so ist, dann wird dem Archivbetreiber nämlich aufgegeben, Vorsorge dafür zu treffen, dass ein Rechtsverstoß unterbunden wird, der nicht von ihm, sondern erst von Google bewirkt wird.

Das OLG hat die Revision zugelassen, weshalb sich wohl der BGH mit der Frage beschäftigen wird.

Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat Facebook (Irland) aufgegeben, auf eine Klarnamenpflicht zu verzichten und den (deutschen) Nutzern entsprechend der Vorgabe des § 13 Abs. 6 TMG eine Nutzung des sozialen Netzes auch unter einem Pseudonym zu ermöglichen. Das berichten u.a. der NDR und SPON.

Mit einem ähnlichen Vorstoß war das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein vor gut zwei Jahren beim OVG Schleswig gescheitert. Das Oberverwaltungsgericht hatte damals die Auffassung vertreten, dass Facebook nicht an deutsches sondern an irisches Datenschutzrecht gebunden sei. Diese Rechtsauffassung ist allerdings durch das Google-Urteil des EuGH ins Wanken geraten. Der EuGH hatte eine Anwendung von nationalem (spanischen) Datenschutzrecht auf Google Spain bejaht. Auch wenn die Sachverhalte nicht unmittelbar vergleichbar sind, spricht die Entscheidung dafür, auch Facebook dem deutschen Datenschutzrecht zu unterstellen. Ich habe seit jeher – allerdings mit anderer Begründung – die Auffassung vertreten, dass Facebook an deutsches Datenschutzrecht gebunden ist.

In einem aktuellen Beitrag für CR-Online vertritt Rechtsanwalt Niko Härting die Ansicht, die Vorschrift des § 13 Abs. 6 TMG sei europarechtswidrig. Hierzu kann man natürlich in formeller Hinsicht sagen, dass deutsche Behörden und Gerichte zunächst auch eurparechtswidrige Vorschriften anzuwenden haben. Gerichte können dann an den EuGH vorlegen, um diese Frage verbindlich klären zu lassen.

Aber ist der Einwand von Härting in materielle Hinsicht stichhaltig? Härting begründet seine Ansicht damit, dass Art. 7 der Datenschutzrichtlinie nach der Rechtsprechung des EuGH abschließend regeln würde, unter welchen Bedingungen eine Datenverarbeitung zulässig ist und es dem nationalen Gesetzgeber verboten sei, darüber hinausgehende Bedingungen aufzustellen. Aber enthält § 13 Abs. 6 TMG tatsächlich eine zusätzliche Bedingung für die Zulässigkeit einer Datenverarbeitung? Der EuGH hat entschieden, dass Art. 7 der Richtlinie 95/46 eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann (EuGH, Urteil vom 24. 11. 2011 – C-468/10). Hieraus folgert der EuGH, dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten einführen dürfen, noch zusätzliche Bedingungen stellen können, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden.

Wenn man § 13 Abs. 6 TMG an dieser Vorgabe misst, wird man allerdings Schwierigkeiten haben zu begründen, an welchem der sechs in Art. 7 der Datenschutzrichtlinie aufgestellten Grundsätze die Vorschrift konkret rütteln sollte.

Nachdem die datenschutzrechtliche Diskussion sowohl in Deutschland als auch auf Ebene der EU fast immer von einem gewissen Tunnelblick geprägt wird, ist es hilfreich, gelegentlich auf den verfassungsrechtlichen Hintergrund des Datenschutzes zurückzugreifen, speziell wenn man eine Vorschrift wie § 13 Abs. 6 TMG betrachtet. Der Sinn und Zweck der Vorschrift ist nämlich die Datenvermeidung und die Verhinderung der Entstehung personenbezogener Daten, die öffentlich verfügbar sind. In verfassungsrechtlicher Hinsicht erscheint es wichtig zu erkennen, dass die Vorschrift gerade ein Ausfluss des Grundrechts auf informationelle Selbstbestimmung ist, die zudem für den Nutzer ein Mittel zum Selbstdatenschutz darstellt (Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, § 13 TMG, Rn. 10 TMG). Die Grundrechtecharta der EU normiert in Art. 8 ein Recht auf Datenschutz und in Art. 7 ein Recht auf Achtung des Privatlebens. § 13 Abs. 6 TMG ist letztlich also nichts anderes als eine einfachgesetzliche Konkretisierung des Rechts auf Datenschutz bzw. auf informationelle Selbstbestimmung.

Es stellt sich letztlich also eher die Frage, ob der (europäische) Gesetzgeber vor diesem Hintergrund nicht gehalten bzw. verpflichtet ist, beispielsweise für soziale Netzwerke, die Möglichkeit einer anonymen oder pseudonymen Nutzung zu gewährleisten. Dass die bisherigen Vorschläge einer Datenschutzgrundverordnung dies nicht vorsehen, besagt nichts darüber ob nicht doch eine entsprechende Notwendigkeit besteht.

Während er gegenüber Facebook & Co. gerne den Datenschutztaliban gibt, zeigt sich Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein, gegenüber den Plänen zur Wiedereinführung einer staatlichen Vorratsdatenspeicherung äußerst milde. Sein Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) begrüßt den Gesetzesentwurf des BMJ grundsätzlich, trotz Kritik in einigen Detailfragen.

Seine Haltung begründet Weichert mit dem folgendem, bemerkenswerten Argument:

Während heute TK-Provider teilweise Verkehrsdaten sofort oder – aus Gründen der IT-Sicherheit – nach einer kurzen Frist von 7 Tagen löschen, gibt es Anbieter, die Verkehrsdaten monatelang oder gar unbefristet aufbewahren, und Sicherheitsbehörden, die hierauf für ihre Zwecke zugreifen. Nur mit einer gesetzlichen Regelung kann Rechtssicherheit für alle Beteiligten – Behörden, Provider und Betroffene – erreicht und so der Weg zu einem effektiven Rechtsschutz eröffnet werden.

Das deutet für mich allerdings daraufhin, dass man beim ULD das Grundkonzept des aktuellen Gesetzesentwurfs noch nicht durchdrungen hat. Denn die nunmehr einzuführende Vorratsdatenspeicherung in §§ 113a ff. TKG (n.F.) ändert an der Möglichkeit der Provider, Verkehrsdaten zu eigenen Zwecken, insbesondere zu Abrechnungszwecken oder aus Gründen der IT-Sicherheit zu speichern, nicht das Geringste. Beide Regelungsmaterien sind im Gesetz strikt getrennt, das Gesetz ordnet im Ergebnis auch die Schaffung zweier vollständig getrennter Datenpools an.

Die uneinheitliche Speicherpraxis der Provider zu eigenen Zwecken wird durch die Neuregelung also nicht angetastet. Die gesetzlichen Regelungen, die dies derzeit ermöglichen, insbesondere §§ 96, 97, 100 TKG bleiben unverändert. Die Provider müssen vielmehr, neben der anlassbezogenen Speicherung von Daten für eigene Geschäftszwecke, jetzt anlasslos und zusätzlich für den Staat Verkehrsdaten auf Vorrat speichern. Aus datenschutzrechtlicher Sicht wird die Neuregelung den Providern also auferlegen, in erheblichem Maße zusätzlich personenbezogene Daten zu speichern und hierfür einen neuen, getrennten Datenpool zu schaffen.

Die anderslautenden Ausführungen des ULD in der Pressemitteilung vom 19.05.2015 sind sachlich unzutreffend.

Ein neues Urteil des Bundesarbeitsgerichts (BAG) wird, vermutlich nicht nur in Juristenkreisen, für Gesprächsstoff sorgen (Urteil vom 11.12.2014, Az.: 8 AZR 1010/13).

Nach Ansicht des BAG muss die Einwilligung in eine Veröffentlichung eines Fotos auf dem der Arbeitnehmer abgebildet ist, nach § 22 KUG schriftlich erfolgen. Das entspricht bislang jedenfalls nicht der Rechtsprechung der Zivilgerichte, die bislang immer eine formlose Einwilligung genügen ließen. Nachdem des BAG aber insoweit die Besonderheiten des Arbeitsverhältnisses betont, dürften die Auswirkungen auf das Arbeistrecht beschränkt bleiben. Das BAG führt in seinem Urteil dazu folgendes aus:

Wegen der Bedeutung des Rechts der Arbeitnehmer, auch im Arbeitsverhältnis ihr Grundrecht auf informationelle Selbstbestimmung ausüben zu dürfen, führt eine solche Abwägung im Ergebnis dazu, dass auch und gerade im Arbeitsverhältnis die Einwilligung der Arbeitnehmer der Schriftform bedarf. Nur dadurch kann verdeutlicht werden, dass die Einwilligung der Arbeitnehmer zur Veröffentlichung ihrer Bildnisse unabhängig von den jeweiligen Verpflichtungen aus dem eingegangenen Arbeitsverhältnis erfolgt und dass die Erteilung oder Verweigerung der Einwilligung für das Arbeitsverhältnis keine Folgen haben dürfen.

Das BAG geht dann weiter davon aus, dass diese Einwilligung nicht ohne weiteres frei widerruflich ist, auch dann nicht, wenn das Arbeitsverhältnis beendet ist. Zur Begründung führt das BAG folgendes aus:

Allerdings deutet ein Umkehrschluss aus § 28 Abs. 3a Satz 1 aE BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann“. Es ist wiederum im Rahmen der gegenseitigen Rücksichtnahme auf die Interessen der anderen Seite, § 241 Abs. 2 BGB, eine Abwägung im Einzelfall vorzunehmen. Auf der Seite des Arbeitgebers stehen das Veröffentlichungsinteresse wie das wirtschaftliche Interesse an einer wenigstens kostendeckenden Verwertung der entstandenen Produktionskosten zu Werbezwecken. Auf der Seite des eingewilligenden Arbeitnehmers steht sein Recht auf informationelle Selbstbestimmung, das bei oder anlässlich der Beendigung des Arbeitsverhältnisses neue Entscheidungskoordinaten bekommen haben kann, aber nicht muss.

In diesem Zusammenhang kann der Arbeitnehmer grundsätzlich anführen, dass mit seiner Person und mit der Abbildung seiner Erscheinung nach dem Ende des Arbeitsverhältnisses nicht weiter für das Unternehmen geworben werden soll. Dies gilt jedenfalls in dem Fall, in dem für die Verwendung zu Werbezwecken eine Vergütung nicht erfolgt war. Es muss aber mit der Person des ausgeschiedenen Arbeitnehmers oder mit seiner Funktion im Unternehmen geworben werden. Bei einer allgemeinen Darstellung des Unternehmens, auch wenn diese aus Werbezwecken erfolgt ist und ins Internet gestellt wird, bei der die Person und Persönlichkeit des Arbeitnehmers nicht hervorgehoben, sein Name nicht genannt und die Identität seiner Person auch sonst nicht herausgestellt wird und bei der zudem beim Betrachter nicht zwingend der Eindruck entsteht, es handele sich um die aktuelle Belegschaft, kann von einer wirtschaftlichen und persönlichkeitsrelevanten Weiter-„verwertung“ der Abbildung des Arbeitnehmers nicht ausgegangen werden. So wenig wie Arbeitnehmer, hier also der Kläger, aufgrund einer arbeitsvertraglichen Nebenpflicht gehalten sind, der Verwendung und Herstellung ihrer Abbildung während des Bestandes des Arbeitsverhältnisses zuzustimmen, so wenig können sie ihre einmal wirksam erteilte Einwilligung allein aus Anlass der Beendigung des Arbeitsverhältnisses widerrufen. Im Ergebnis der in solchen Fällen vorzunehmenden Gesamtabwägung ist vielmehr zu verlangen, dass der widerrufende Arbeitnehmer einen Grund im Sinne einer Erklärung angibt, warum er nunmehr, anders als bei der Jahre zurückliegenden Erteilung der Einwilligung, sein Recht auf informationelle Selbstbestimmung gegenläufig ausüben will.

Wichtig für die arbeistvertragliche Praxis und den Arbeitnehmerdatenschutz ist die Entscheidung aber auch insofern, als das BAG eine datenschutzrechtliche Einwilligung des Arbeitnehmers ausdrücklich für möglich hält. In der datenschutzrechtlichen Literatur wurde bislang z.T. die Auffassung vertreten, dass Arbeitnehmer aufgrund des bestehenden Abhängigkeitsverhältnisses nicht oder nur eingeschränkt in die Verarbeitung ihrer Daten einwilligungen können. Dem ist das BAG nicht gefolgt. Die Begründung des Gerichts lautet wie folgt:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. Löste die Verweigerung einer außerhalb von § 32 BDSG erforderlichen schriftlichen Einwilligung Benachteiligungen aus, so stellte dies einen groben Verstoß gegen die arbeitgeberseitigen Pflichten aus § 241 Abs. 2 und § 612a BGB dar, der zum Schadensersatz nach §§ 282, 280 Abs. 1 BGB verpflichtete. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten – soweit erforderlich – zuzustimmen, besteht nicht.

Wer als Arbeitgeber also Fotos seiner Mitarbeiter im Netz veröffentlicht, sollte sich hierfür tunlichst eine schriftliche und unbefristete Einwilligung vom Arbeitnehmer erteilen lassen. Dann können die Bilder – unter den oben genannten Voraussetzungen – auch dann online bleiben, wenn das Arbeitsverhältnis beendet worden ist.

Vor ca. zwei Wochen meldete Heise, dass Twitter irische Datenschutzstandards gewählt hätte, bei ZDNet heißt es, Twitter habe sich dem irischem Datenschutzgesetz unterstellt.

Was hat es damit auf sich und gilt für Twitter im Verhältnis zu deutschen Nutzern des Dienstes tatsächlich irisches Datenschutzrecht?

Twitter hat eine Aktualiserung seiner Datenschutzrichtlinie und seiner AGB mitgeteilt, verbunden mit dem Hinweis, dass man durch die Weiterbenutzung des Dienstes nach dem 18.05.2015 diese Änderungen akzeptieren würde. In der Mitteilung von Twitter heißt es:

Wenn Du außerhalb der USA lebst, werden Dir unsere Dienste nun von Twitter International Company, unserem Unternehmen mit Sitz in Dublin (Irland), bereitgestellt. Twitter International Company ist dafür verantwortlich, Deine Account-Informationen nach dem irischen Datenschutzgesetz zu verwalten, das auf der Europäischen Datenschutzrichtlinie basiert.

In der aktualisierten Datenschutzrichtlinie von Twitter heißt es dazu:

Wenn Sie außerhalb der Vereinigten Staaten leben, ist für Ihre Daten die Twitter International Company verantwortlich, ein irisches Unternehmen mit eingetragenem Geschäftssitz unter der Adresse The Academy, 42 Pearse Street, Dublin 2, Ireland.

Interessanterweise enthalten die AGB von Twitter eine Rechts- und Gerichtsstandswahl, wonach das recht des Staates Kalifornien gelten soll und als Gerichtsstand San Francisco vereinbart werden soll. Diese Rechts- und Gerichtsstandswahl ist außerhalb des kaumännischen Verkehrs gegenüber Verbrauchern unwirksam. Bei der Rechtswahl wird man davon auszugehen haben, dass eine solche im Datenschutzrecht bereits nach Art. 9 Abs. 1 Rom I-VO unzulässig ist. Sie dürfte gegenüber Verbrauchern jedenfalls an Art. 6 Abs. 2 S. 2 Rom I-VO scheitern. Die Gerichtsstandsvereinbarung verstößt gegen Art. 16, 17 EuGVVO.

Was nun die angebliche Geltung des irischen Datenschutzrechts anbelangt, ist die Entscheidung des EuGH zu den Löschpflichten von Google zu beachten. Der EuGH führt dort (Erwägungsgrund 18, 19) u.a. folgendes aus:

Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.

Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.

Hieraus wird einerseits ebenfalls klar, dass eine Rechtswahl kaum in Betracht kommt und, dass die nationalen Datenschutzregelungen gelten, wenn eine Niederlassung in einem Mitgliedsstaat, egal in welcher Rechtsform, existiert. In Bezug auf Google hat es der EuGH ausreichen lassen, dass eine Zweigniederlassung vorhanden ist, die  für die Vermarktung von Werbung zuständig ist.

Twitter unterhält in Deutschland eine Zweigniederlassung, nämlich die Twitter Germany GmbH, die den Zweck hat, das Marketing und den Verkauf von Online Werbeprodukten der Twitter Inc. zu fördern und zu unterstützen. Man wird deshalb davon auszugehen haben, dass die Grundsätze der EuGH-Rechtsprechung auch Twitter anzuwenden sind.

Twitter unterhält damit eine relevante zweigniederlassung im Sinne der Datenschutzrichtlinie mit der Folge, dass Twitter (auch) deutsches Datenschutzrecht zu beachten hat. Sowohl die Twitter Inc. als auch die Twitter GmbH können daher vor deutschen Gerichten wegen Verletzung datenschutzrechtlicher Vorschriften des deutschen Datenschutzrechts in ANspruch genommen werden.

Netzpolitik.org hat gestern eine zweite Fassung der unlängst von Justizminster Maas vorgestellten Leitlinien zur Wiedereinführung einer Vorratsdatenspeicherung veröffentlicht. Anders als in der offiziellen Version findet sich dort am Ende ein Passus mit folgendem Wortlaut:

Nebenabrede zur Bestandsdatenauskunft
Es wird geregelt, dass eine Auskunft über die Bestandsdaten auch anhand der nach § […] TKG-E gespeicherten Daten verlangt werden kann. Erfolgt eine Auskunft mit Hilfe dieser Daten, muss dies durch die TK-Anbieter mitgeteilt werden.

Auch wenn das sprachlich etwas unpräzise formuliert ist, möchte ich der Frage nachgehen, was es damit auf sich hat.

Die Bundesregierung hatte bereits 2011 in Bezug auf eine geplante Neuregelung der Vorratsdatenspeicherung folgendes erklärt:

Das BVerfG hat in seinem Urteil vom 2. März 2010 zwischen dem Abruf und der unmittelbaren Nutzung von Verkehrsdaten auf der einen und einer mittelbaren Nutzung der Daten zur Erteilung von Auskünften durch die Telekommunikationsdiensteanbieter über die Inhaber von IP-Adressen auf der anderen Seite unterschieden und festgestellt, dass insoweit unterschiedliche verfassungsrechtliche Maßgaben gelten. Die Bundesregierung teilt diese Auffassung (…)

Das Bundesverfassungsgericht hat in seiner Entscheidung zur Vorratsdatenspeicherung ausgeführt, dass in den Fällen, in denen den Ermittlungsbehörden die IP-Adresse schon aus einer anderen Quelle bekannt ist, keine hohen Eingriffshürden für eine Auskunft über die Person des Anschlussinhabers bestehen. Das Gericht bezeichnet das als mittelbare Nutzung von Verkehrsdaten. Es muss in diesen Fällen weder eine schwere Straftat vorliegen, noch ist eine richterliche Anordnung erforderlich. Notwendig ist nur ein hinreichender Tatverdacht oder im präventiven Bereich eine konkrete Gefahr. Auf diese Weise könnten verfassungskonform alle Arten von Straftaten, also auch Betrug, Urheberrechtsverletzungen etc., ermittelt werden.

Hieran möchte die Bundesregierung jetzt offenbar anknüpfen und eine Auskunft über Bestandsdaten – also Name und Anschrift des Providerkunden – zu einer bereits durch die Polizei ermittelten IP-Adresse auch ohne Richtervorbehalt ermöglichen. Die Frage ist allerdings, ob diese Prämisse des BVerfG im Lichte der Rechtsprechung des EuGH uneingeschränkt weiter gelten kann. Man kann die Entscheidung des EuGH durchaus dahingehend interpretieren, dass für alle Arten von TK-Daten dieselben strengen Anforderungen gelten. Damit wäre der Differenzierung des Verfassungsgerichts allerdings der Boden entzogen.

Die öffentliche Darstellung der Bundesregierung ist in jedem Fall aber unredlich, weshalb die Überschrift von netzpolitik.org „Lügen für die Vorratsdatenspeicherung“ durchaus treffend ist. Denn Justizminister Maas erweckt den Eindruck, als würde der Abruf jeglicher Vorratsdaten unter einem Richtervorbehalt stehen. Das soll aber offenbar nicht der Fall sein. Man hätte also den Menschen ehrlicherweise sagen müssen, dass es einen Richtervorbehalt nur dort geben soll, wo ihn das Bundesverfassungsgericht zwingend verlangt hat.

Das OLG Frankfurt hat einer Ratingagentur mit Urteil vom 7.4.2015 (Az.: 24 U 82/14) untersagt, über ein Unternehmen eine schlechte Bonitätsbewertung zu erteilen.

Ein Unternehmen aus dem Rhein-Main-Gebiet wurde von einer Ratingagentur mit dem „Risikoindikator 4“, dem schlechtesten von vier Werten beurteilt. In der Bewertung wurde u.a. das Ausfallrisiko als hoch eingestuft.

Die Klägerin, die auf die schlechte Bewertung durch eine ihrer Kundinnen aufmerksam gemacht wurde, wandte sich daraufhin an die Beklagte und forderte Aufklärung. Die Beklagte stufte die Klägerin danach eine Stufe besser mit „3“ und das Ausfallrisiko mit „überdurchschnittlich“ ein.

Die Klägerin erhob hierauf Klage gegen die Beklagte mit dem Antrag, es zu unterlassen, gegenüber Dritten eine schlechte Risikoeinschätzung der Klägerin abzugeben und ihr Ausfallrisiko als hoch einzustufen.

Das Landgericht hatte die Klage noch abgewiesen, weil es die Bonitätsbewertung als bloßes Werturteil betrachtet hat. Das OLG Frankfurt hat diese Entscheidung jetzt aufgehoben und hat die Ratingagentur zur Unterlassung verurteilt.

In der Pressemitteilung des OLG Frankfurt heißt es hierzu:

Zur Begründung führt das OLG aus: Die von der Beklagten abgegebene äußerst negative Bewertung der Kreditwürdigkeit der Klägerin sei ohne jegliche sachliche Basis. Das Vorgehen der Beklagten bei der Abgabe ihrer verschiedenen Bewertungen sei von einer verantwortungslosen Oberflächlichkeit geprägt und verletze das Recht der Klägerin, keine rechtswidrigen Eingriffe in ihren Gewerbebetrieb erleiden zu müssen. Maßstab für das Ratingagenturen erlaubte Verhalten sei § 28 b Bundesdatenschutzgesetz. Nach dieser Vorschrift dürfe ein „Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten erhoben oder verwendet werden, wenn die zur Berechnung des Wahrscheinlichkeitswertes genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind“. Zwar seien die sog. „Scoreformeln“ selbst sowie die Basisdaten nach dem Urteil des Bundesgerichtshofes vom 14.1.2014, VI ZR 156/13 als geschütztes Geschäftsgeheimnis der Ratingagentur anzusehen. Vorliegend erwecke die Beklagte bei ihren Kunden aus der Wirtschaft aber den Eindruck einer umfassenden Verwertung der verschiedensten Variablen über das bewertete Unternehmen. Genauer betrachtet stütze sie die schlechte Bewertung der Klägerin jedoch einzig und allein darauf, dass es sich bei der Klägerin nicht um eine Kapitalgesellschaft, sondern einen eingetragenen Einzelkaufmann handele. Das reiche nicht aus, da die Verwertung dieses Einzelfaktors dem Maßstab einer komplexen, auf statistischen und wissenschaftlichen Algorithmen beruhenden Bewertung nicht genüge.

In der Urteilsbegründung weist das Oberlandesgericht zudem darauf hin, dass die Tatsachengrundlage für das „Scoring“ durch die Beklagte in mehreren wesentlichen Punkten offensichtlich falsch sei. Das dürfte der maßgebliche Aspekt für die Entscheidung des OLG gewesen sein.

Das Gericht beanstandet u.a., dass in der Bewertung widersprüchliche Angaben zur Branchenzugehörigkeit gemacht werden und die Branchenzugehörigkeit gleichzeitig ein zentraler Aspekt für die negative Bewertung gewesen sei. Außerdem beanstandet das OLG die Annahme der Ratingagentur, wonach der Umstand, dass über das Zahlungsverhalten des Unternehmens keine Informationen vorlägen, dazu führen würde, das Unternehmen eher im hinteren Feld einzustufen. Hierzu meint das Oberlandegsericht zu recht, dass man ein Unternehmen, über das keine Informationen vorliegen, im statistischen Mittel einordnen müsse, oder, besser, offen sagen müsse, dass man gar keine Informationen hat.

Bonitätsbewertungen sind demnach dann angreifbar, wenn sie auf einer falschen oder nicht nachvollziehbaren Tatsachengrundlage beruhen.