Internet-Law

Onlinerecht und Bürgerrechte 2.0

16.10.18

Lehrer am Pranger der AfD

Die AfD-Fraktion in der Hamburger Bürgerschaft hat unter dem Titel „Neutrale Schule Hamburg“ vor ein paar Wochen ein Online-Portal gestartet, auf dem Schüler oder Eltern „mutmaßliche Neutralitätsverstöße“ von Lehrern melden sollen. Eine Veröffentlichung sei hier nicht angedacht. In Baden-Württemberg gibt es eine vergleichbare Website, betrieben von einem AfD-Abgeordneten, die aber derzeit nicht mehr erreichbar ist. Anders als in Hamburg sollen hier auch die Namen der Lehrer veröffentlicht werden. Noch deutlich weiter geht die sächsische Variante, bei der sogar Meldungen mit vordefinierten Kriterien wie „Werbung für kulturfremde Weltanschauungen“ vorgesehen sind und auch Fotos des denunzierten Lehrers hochgeladen werden können, wie die Leipziger Volkszeitung berichtet.

Wenn die Daten nur erfasst, aber nicht veröffentlicht werden, stehen vor allem datenschutzrechtliche Fragen im Vordergrund, während in den Fällen der Veröffentlichung persönlichkeitsrechtliche Fragen hinzutreten, im Falle von Bildveröffentlichungen ist zudem das Recht am eigenen Bild betroffen.

1. Datenschutz

Datenschutzrechtlich ist davon auszugehen, dass die AfD personenbezogene Daten von Lehrern erhebt und verarbeitet, die die politische und weltanschauliche Haltung des Lehrers betreffen. Solche Informationen sind nach Art. 9 der DSGVO als besondere Kategorien personenbezogener Daten geschützt, ihre Verarbeitung ist grundsätzlich untersagt. Die engen Ausnahmen, die Art. 9 Abs. 2 DSGVO vorsieht, sind nicht einschlägig. Insbesondere kann nicht davon ausgegangen werden, dass die Verarbeitung nach Art. 9 Abs. 2 g) DSGVO aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Bereits die Bejahung eines allgemeinen öffentlichen Interesses – außerhalb der Schulöffentlichkeit – erscheint mir fragwürdig. Ein erhebliches öffentliches Interesse der AfD daran, solche Daten zu erheben und zu sammeln, besteht nicht. Es ist vielmehr so, und hierauf hat der Kollege Simon Assion auf Twitter zu Recht hingewiesen, dass man annehmen muss, dass die AfD damit eine systematische Sammlung über politische Gegner in der Lehrerschaft anlegen will. Der primäre Zweck dürfte die Einschüchterung sein. Und letztlich ist diese Sammlung auch geeignet, den Schulbetrieb zu stören. Insoweit besteht wohl eher ein öffentliches Interesse daran, diesen Praktiken entgegenzuwirken.

Diese Portale zur Meldung von Lehrern erfüllen die Voraussetzungen von Art. 9 DSGVO nicht und sind daher datenschutzwidrig. Die Aufsichtsbehörden tun sich allerdings offenbar schwer mit einer Verfolgung. Der Hamburgische Datenschutzbeauftragte verwies zum Beispiel darauf, dass er für die Kontrolle von Fraktionen nicht zuständig sei. Das erscheint allerdings fraglich, denn der Betrieb einer Onlinemeldeplattform ist schwerlich der parlamentarischen Arbeit einer Fraktion zuzuordnen. Demzufolge versucht der baden-württembergische Landesdatenschutzbeauftragte zu klären, ob es sich um eine mandatsbezogene oder parteipolitische Tätigkeit handelt. In letzterem Fall sind die Aufsichtsbehörden zuständig.

2. Persönlichkeitsrecht

Wenn die Informationen veröffentlicht werden, steht zudem eine Verletzung des allgemeinen Persönlichkeistrechts im Raum. Im Fall des Lehrerbewertungsportal „spickmich“ war zumindest eine Registrierung der Nutzer erforderlich. Die Daten waren damit nicht allgemein zugänglich, der Abruf war auf registrierte Personen beschränkt, die ein typisiertes berechtigtes Informationsinteresse an den zur Verfügung gestellten Daten geltend gemacht hatten. Diesen Aspekt betont der BGH auch ausdrücklich in seiner Spickmich-Entscheidung (Rn. 37). Die Zulässigkeit einer Veröffentlichung lässt sich also nicht auf diese Entscheidung stützten.

Ungeachtet dessen, können einzelne Einträge natürlich auch immer unrichtig und deshalb zu löschen sein. Nach neuerer Rechtsprechung des BGH unterliegt der Betreiber einer Bewertungsplattform zudem, sobald ein Betroffener den Eintrag beanstandet, einer Pflicht zur gewissenhaften Prüfung der Beanstandung. Dies gilt in vertärktem Maße, wenn Einträge anonym vorgenommen werden können.

Sollte außerdem die Möglichkeit bestehen, wie dies in Sachsen der Fall zu sein scheint, ein Foto des betroffenen Lehrers zu posten, wäre dies zusätzlich ein Verstoß gegen das Recht des Lehrers am eigenen Bild.

3. Fazit

Die verschiedenen Meldeportale der AfD, mittels derer „Neutralitätsverstöße“ von Lehrern gemeldet werden sollen, verstoßen gegen das Datenschutzrecht und wegen der erzeugten Prangerwirkung auch gegen die Persönlichkeitsrechte der betroffenen Lehrer.

Die Frage ist auch, ob nicht zudem ordnungsrechtlich gegen diese Portale vorgegangen werden kann, was Josef Franz Lindner im Verfassungsblog diskutiert.

posted by Stadler at 18:28  

1.8.18

Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?

In letzter Zeit liest man immer wieder, dass Schulen und Kindergärten das Fotografieren auf Festen und anderen Veranstaltungen der Einrichtung, an denen Eltern und Angehörige teilnehmen, verbieten. Zumeist mit dem Argument, die Datenschutzgrundverordnung (DSGVO) würde dies verlangen. Über einen solchen Fall berichtet aktuell beispielsweise die Lausitzer Rundschau.

Man wird vermutlich schon darüber diskutieren können, ob die Schulleitung das Fotografieren und Filmen auf Veranstaltungen der Schule kraft ihres Hausrechts untersagen kann. Das Datenschutzrecht verlangt ein solches Verbot allerdings nicht.

Die DSGVO ist in den Fällen, in denen Eltern oder andere Angehörige Fotos anfertigen, auf denen neben ihren eigenen Kindern auch fremde Kinder zu sehen sind, nämlich schon gar nicht anwendbar. Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.

Davon strikt zu trennen ist allerdings die Frage, ob solche Fotos anschließend z.B. in sozialen Netzen veröffentlicht werden können. Diese Frage wurde im deutschen Recht, jedenfalls bis zum Wirksamwerden der DSGVO, im sog. Kunsturheberrechtsgesetz (KUG) geregelt. Ob das KUG weiterhin anwendbar ist oder durch die DSGVO verdrängt wird, ist juristisch umstritten. Ungeachtet der Frage, ob das KUG oder die DSGVO diese Frage regelt, bedarf es im Falle der Veröffentlichung von Bildmaterial, auf dem Personen erkennbar sind, grundsätzlich einer Einwilligung des Abgebildeten. We also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.

Schulen und Kindergärten schießen, wenn sie das Fotografieren verbieten, also über das Ziel hinaus. Was die Anfertigung von Fotos betrifft, hat sich die Rechtslage seitdem die DSGVO gilt, nicht verändert. Was wir hier erleben, ist lediglich eine gefühlte Verschärfung des Datenschutzrechts.

posted by Stadler at 21:13  

7.7.18

Störerhaftung jetzt auch im Datenschutzrecht?

Der Europäische Gerichtshof (EuGH) hat vor einigen Wochen (Urteil vom 05.06.2018, Az.: C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage (neben Facebook) als datenschutzrechtlich Verantwortlicher zu betrachten ist. Der EuGH macht zunächst deutlich, dass er eine weite Definition des Begriffs des „Verantwortlichen“ präferiert, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Fanpage beteiligt sich durch die Unterhaltung der Fanseite an der Datenverarbeitung und ist daher gemeinsam mit Facebook Irland als für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Die Entscheidung wird, jedenfalls was die Frage des Verantwortlichen angeht, auch auf die DSGVO Anwendung finden.

Es ist nach dieser Lesart also keinesfalls so, dass der Verantwortliche, was der englische Begriff des Controllers nahelegen würde, den Prozess der Datenverarbeitung steuern und kontrollieren muss. Vielmehr genügt auch ein (untergeordneter) Beitrag, um zum gemeinsamen Verantwortlichen zu werden. Damit hat der EuGH eine Art Störerhaftung im Bereich des Datenschutzes geschaffen, die es ermöglicht, nahezu beliebige (kausale) Beiträge als verantwortungsbegründend zu qualifizieren.

Insoweit verbleibt aber die dogmatische und auch rechtspolitische Frage, ob es wirklich sachgerecht ist, neben dem Hauptverantwortlichen, der den Datenverarbeitungsvorgang tatsächlich steuert und kontrolliert, jeden als Verantwortlichen zu begreifen, der einen Beitrag zu einer (fremden) Datenverarbeitung leistet. Der EuGH betont in seiner Entscheidung zwar, dass die bloße Nutzung eines sozialen Netzwerks nicht ausreichend sein soll, um den Nutzer zum Mitverantwortlichen zu machen. Konsequent erscheint diese Einschränkung im Lichte der weiten Auslegung des EuGH aber nicht. Denn wer als Nutzer Inhalte postet – und nichts anderes macht der Betreiber einer Fanseite am Ende auch – trägt dazu bei, dass Facebook das Verhalten anderer Nutzer, die die geposteten Inhalte lesen oder betrachten, auswerten kann. Mithin leistet man nach der Logik des EuGH also bereits durch das bloße Einstellen von Inhalten in ein soziales Netzwerk einen kausalen Beitrag für eine sich anschließende Datenverarbeitung von Facebook. Diese Konsequenz will der EuGH freilich nicht ziehen, weil man damit jeden Nutzer eines sozialen Netzwerks als Verantwortlichen einstufen müsste.

Es zeigt sich auch hier wieder etwas, was man seit Jahren beobachten kann. Die konsistente Anwendung des Datenschutzrechts würde die Nutzung des Internets wie wir es kennen und wie es von einer Mehrzahl der Menschen genutzt wird, deutlich beeinträchtigen. Weil aber weder der Gesetzgeber noch die Gerichte diese Konsequenz ziehen wollen, kommt es immer wieder zu widersprüchlichen datenschutzrechtlichen Schlussfolgerungen, die zu Rechtsunsicherheit führen.

posted by Stadler at 15:18  

24.5.18

Was bedeutet die Datenschutzgrundverordnung für Blogger und Webseitenbetreiber?

Nicht nur mich erreichen in letzter Zeit immer wieder Anfragen von besorgten Bloggern, ob sie ihr Blog wegen der ab 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO) nicht besser vom Netz nehmen sollten. Die Unsicherheit ist enorm. Bei Privatleuten, die im Internet präsent sind, ebenso wie bei Unternehmern und Freiberuflern. Es ist der Eindruck entstanden, dass die datenschutzrechtlichen Anforderungen durch die DSGVO erheblich ansteigen, was allenfalls zum Teil richtig ist. Vieles von dem, was die DSGVO verlangt, entspricht schon seit Jahren der geltenden Rechtslage in Deutschland, aber es gibt auch neue bzw. geänderte Anforderungen und eine ganze Reihe von Unklarheiten. Der folgende Beitrag versucht, einige der zentralen Aspekte zu beleuchten, auf die Blogger und Webseitenbetreiber achten müssen.

Die erste Frage, die sich viele stellen: Muss ich als nichtkommerzieller Blogger oder Webseitenbetreiber die DSGVO überhaupt beachten? Die Antwort lautet: In aller Regel ja. Die DSGVO gilt auch für Privatleute, es sei denn, die Datenverarbeitung erfolgt ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten. Diese Ausnahme wird sehr eng verstanden. Ein Blog, das sich an eine allgemeine Öffentlichkeit richtet, fällt nicht mehr unter diese Ausnahme.

Am Anfang aller Überlegungen sollte die Frage stehen, welche Daten beim Betrieb des eigenen Blogs überhaupt erhoben und verarbeitet werden. Denn davon hängt es ab, welche Maßnahmen ergriffen werden müssen, um das Blog oder die Website datenschutzkonform betreiben zu können. Wer sich da unsicher ist, sollte zunächst mittels Tools wie Ghostery überprüfen, welche Tracking Tools sich im Einsatz befinden. Der pragmatische Tipp für diejenigen, die bislang noch gar nichts unternommen haben, ist es, zunächst zumindest das anzugehen, was man nach außen hin sieht und das ist bei einem Blog vor allem die Datenschutzerklärung.

Die Diskussion rund um die DSGVO hat mittlerweile hysterische Züge angenommen. Die Aufregung wird sich vermutlich sehr bald legen, denn es wird zunächst gar nichts passieren. Die Aufsichtsbehörden werden Blogger und Webseitenbetreiber, wenn überhaupt, zunächst anhören, auf Verstöße hinweisen und ggf. (kostenfrei) verwarnen. Es ist kaum damit zu rechnen, dass es hier bei einem Erstverstoß zur Verhängung von Geldbußen kommen wird.

Auch die vielbeschworene Abmahngefahr wird in der Diskussion stark übertrieben. Insoweit ändert sich an der bestehenden Rechtslage nichts, das juristische Risiko wegen eines Datenschutzverstoßes wettbewerbsrechtlich abgemahnt zu werden, hat sich nicht erhöht. Verstöße gegen datenschutzrechtliche Vorschriften wurden schon bislang von den Gerichten häufig für wettbewerbsrechtlich relevant erachtet. Es wird jetzt im Gegenteil sogar die Auffassung vertreten, dass Verstöße gegen die DSGVO nicht mehr nach § 3a UWG verfolgt werden könnten. Es ist allerdings nicht unbedingt davon auszugehen, dass sich diese Ansicht tatsächlich durchsetzen wird.

Neue Datenschutzerklärung

Viele Blogger haben bereits jetzt eine Datenschutzerklärung online. Die sollte nunmehr sinnvollerweise neu gestaltet werden, weil die Anforderungen der DSGVO andere sind als sie es nach dem TMG waren. Der notwendige Inhalt einer Datenschutzerklärung ergibt sich aus Art. 13 DSGVO. Tools wie der Datenschutzgenerator von Thomas Schwenke helfen bei der Erstellung der Datenschutzerklärung, wenn man keinen Anwalt beauftragen will. Auch die ausführlich erläuterte Musterdatenschutzerklärung von Hören, ist als Orientierungshilfe gut geeignet ist. Meine eigene Datenschutzerklärung finden Sie hier.

Wichtig ist, dass die Datenschutzerklärung diejenige Datenverarbeitung abbildet, die tatsächlich stattfindet. Man stößt immer wieder auf Datenschutzerklärungen, die offenbar nur unreflektiert per Copy & Paste übernommen worden sind und Tools benennen, die auf der Website gar nicht eingesetzt werden, während andere Datenverarbeitungsvorgänge, die offensichtlich stattfinden, gar nicht erwähnt werden. Bislang besteht eine gewisse Neigung zu sehr ausführlichen, zum Teil ausufernden Datenschutzerklärungen, die manchmal auch deshalb so lang sind, weil stellenweise lediglich der Gesetzeswortlaut wiederholt wird. Eine eher knappe Datenschutzerklärung hat demgegenüber allerdings den Vorteil, dass die notwendigen Informationen noch am ehesten bei den betroffenen Nutzern ankommen.

Man muss in der Datenschutzerklärung u.a. Serverlogs, WordPress-Plugins, Tracking- und Statistiktools wie Google Analytics oder Matomo abbilden, ebenso wie Social-Media-Plugins, Kommentarfunktionen, Spamfilter wie Akismet, Newsletterdienste wie MailChimp oder die Einbindung fremde Inhalte z.B. via YouTube oder Instagram. Auch die Datenverarbeitung durch Marketing-Tools ist darzustellen.

Verschlüsselung

Aus Art. 32 DSGVO ergibt sich nunmehr explizit, dass ggf. eine Pseudonymisierung und Verschlüsselung personenbezogener Daten zu erfolgen hat, wenn dies nach Durchführung einer Risikoabwägung geboten erscheint. Aufgrund dieser Regelung wird empfohlen, Websites generell mit einer SSL-Verschlüsselung zu versehen. Aus meiner Sicht wird man jedenfalls dann, wenn eine direkte Kommunikation mit dem Nutzer z.B. über Kontaktformulare stattfindet, vertreten können, dass eine Verschlüsselung erforderlich sein kann. Aber auch in diesem Fall wird weiterhin die Möglichkeit bestehen, den Nutzer darauf hinzuweisen, dass die von ihm eingegebenen Daten unverschlüsselt übermittelt werden. Was die Kommentarfunktion angeht, kann das, was ohnehin vom Nutzer bewusst öffentlich gepostet wird, auch zuvor unverschlüsselt übertragen werden, weil es ohnehin öffentlich zugänglich wird. Anders mag dies sein, wenn Informationen zur Person des Nutzers übermittelt werden, die nicht veröffentlicht werden. Aus Datenschutzsicht ist es sinnvoll, möglichst wenig zu speichern und von vornherein anonyme Kommentare zuzulassen. Hier gibt es aber bekanntlich unterschiedliche Philosophien und sicherlich auch Gründe, keine anonymen Postings zuzulassen. Eine allgemeine Verschlüsselungspflicht lässt sich aus Art. 32 DSGVO, entgegen anderslautender Aussagen, nicht ableiten. Gleichwohl kann die Risikoabwägung im Einzelfall zur Annahme einer Verschlüsselungspflicht führen. Wer hier Diskussionen vermeiden will, sollte im Zweifel ein SSL-Zertifikat einrichten.

Einsatz von Tracking-Tools und Cookies

Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) hat vor vier Wochen ein Positionspapier veröffentlicht, das für erhebliche Aufregung und auch zu deutlicher Kritik geführt hat. Die Aufsichtsbehörden vertreten hierbei die Auffassung, dass Tracking-Tools ab dem 25.05.2018 nur noch mit Einwilligung des Nutzers legal eingesetzt werden können. Diese Haltung ist nicht nur von Branchenverbänden wie Bitkom, sondern auch von Datenschutzfachleuten wie Stephan Hansen-Oest oder  Nils Haag kritisiert worden.

Abgesehen davon, dass das Papier der DSK keine tragfähige Begründung enthält, verstärkt es nur die Tendenz zum Wegklick-Internet und schafft keinen datenschutzrechtlichen Mehrwert. Es wird interessant sein zu sehen, wie gerade große Websites auf das Papier reagieren werden. Wenn man bedenkt, dass die großen Medien- und Verlagsseiten durchgehend Tracking Tools in zweistelliger Anzahl einsetzen, erscheint die Einholung von Einwilligungen für jedes einzelne dieser Tools kein wirklich realistisches Szenario zu sein.

Möglicherweise wird die DSGVO beim Thema Werbung/Marketing sogar eine deutlich liberalere Praxis etablieren, als dies bisher in Deutschland der Fall war. Denn Art. 6 Abs. 1 f) DSGVO betrachtet laut der Erwägungsgründe beispielsweise das Interesse von Unternehmen Werbung zu treiben ausdrücklich als schützenswert und es muss dann schon ein überwiegendes grundrechtliches Interesse des betroffenen Nutzers entgegenstehen, damit eine gesetzliche Gestattung für die Datenverarbeitung ausscheidet. Das erfordert letztlich immer eine Abwägung im Einzelfall, weshalb die schematische Betrachtung der DSK in ihrer Pauschalität ersichtlich falsch ist. Möglicherweise werden sich einige Datenschützer noch darüber wundern, was über diese, nunmehr gemeinschaftsrechtlich auszulegende Norm alles gerechtfertigt werden kann und wird. Es ist also mitnichten entschieden, dass die DSGVO ein höheres Datenschutzniveau etabliert als das bislang geltende Datenschutzrecht. Die DSGVO schafft sicherlich mehr Informations- und Dokumentationspflichten, aber am Ende könnte sie dennoch eine Datenverarbeitung in größerem Umfang als bislang erlauben. Art. 6 DSGVO bietet jedenfalls das Potential dafür.

Verarbeitungsverzeichnis

Jeder der nicht nur gelegentlich personenbezogene Daten verabeitet, muss nach Art. 30 DSGVO ein sog. Verarbeitungsverzeichnis führen. Diese Voraussetzungen dürften auf die meisten Blogger zutreffen. Dieses Verzeichnis muss aber nicht veröffentlicht werden, sondern ist nur der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Auftragsverarbeitung

Wer ein Blog oder eine Website betreibt, muss nach Auffassung der Aufsichtsbehörden mit seinem Hoster einen Vertrag über eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) schließen. Auch wenn diese Ansicht sicherlich vertretbar ist, erschien sie mir immer merkwürdig inkonsistent. Denn ob man als Blogger im Verhältnis zu einem großen Hoster oder gar zu Google oder Amazon tatsächlich die Rolle des Controllers einnimmt und einnehmen kann, darf bezweifelt werden. Der Datenschutz verkommt hier zu einem Placebo, denn das Ausfüllen vorformulierter Musterverträge begründet keinen wirklichen Mehrwert und Nutzen. Außerdem lässt sich nicht mehr schlüssig erklären, warum man dann nicht auch mit Facebook, Twitter und Instagram eine Vereinbarung über eine Auftragsverarbeitung schließen müsste, wenn man seinen Account nicht ausschließlich zu persönlichen oder familiären Zwecken nutzt.

Mittlerweile bieten fast alle Hoster den Abschluss solcher Vereinbarungen an, ein Service den man als Blogger und Seitenbetreiber im Zweifel auch in Anspruch nehmen sollte.

 

Die DSGVO ist insgesamt nicht der große Wurf, für den manche sie halten. Vielmehr verfolgt die EU ihren bekannten paternalistischen Ansatz, den nicht sonderlich mündigen Bürger fast zu Tode zu informieren, konsequent weiter, ohne, dass hierdurch ein tatsächlicher Mehrwert für den Datenschutz entsteht. Die DSGVO enthält ein bisschen mehr von allem. Mehr Informationspflichten, mehr Dokumentationspflichten und höhere Geldbußen. Außerdem haben Versäumnisse des europäischen und des deutschen Gesetzgebers im meinungsrelevanten Bereich zu einer gefährlichen Rechtsunklarheit geführt, die die Gerichte beseitigen werden müssen. Sowohl die Begeisterung der einen, wie auch die Panik der anderen ist unangebracht. Die DSGVO beinhaltet ein wenig innovatives Update des bekannten Datenschutzkonzepts, gekoppelt an etwas mehr Bürokratie.

posted by Stadler at 22:19  
« Vorherige Seite