Internet-Law

Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.

In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.

Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.

Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten „alle Informationen, die sich auf eine betroffene Person beziehen„. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.

In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:

Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.

Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.

Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.

Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.

Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.

Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.

Nachdem der EuGH bereits im Jahre 2010 die mangelnde Unabhängigkeit der deutschen Datenschutzaufsicht gerügt hatte, wurde nunmehr in einer weiteren Entscheidung vom heutigen Tag (Az.: C-614/10) in Bezug auf die österreichische Datenschutzkommission vom EuGH festgestellt, dass Österreich seine Verpflichtung aus der Datenschutzrichtlinie verletzt hat.

Der EuGH stellt in seiner Entscheidung klar, dass eine funktionale Unabhängigkeit der Datenschutzbehörde nicht ausreichend ist, sondern vielmehr die Leitung der Behörde keiner Dienstaufsicht unterliegen darf, die Datenschutzkommission nicht dem Kanzleramt angegliedert sein darf und auch keine Informationsrechte des Bundeskanzlers bzw. der Regierung bestehen dürfen.

Patrick Breyer ist einer der führenden Köpfe des AK Vorrat und mittlerweile Fraktionsvorsitzender der Piraten im Landtag von Schleswig-Holstein. Breyer hat vor einigen Monaten die EU-Kommission vor dem EuGH verklagt, nachdem die Kommission die Herausgabe eines Rechtsgutachtens zur Vorratsdatenspeicherung sowie von Schriftsätzen aus einem Vertragsverletzungsverfahren, das Österreich betraf, verweigert hatte.

Breyer hat sowohl seine Klageschrift als auch die Klageerwiderung der Kommission ins Netz gestellt. Die Kommission hat Breyer nunmehr aufgefordert, die Klageschrift und die Klageerwiderung vom Netz zu nehmen und auch nicht in sonstiger Weise der Öffentlichkeit zugänglich zu machen. Rechtlich stützt sich die Kommission vor allem darauf, dass der Gerichtshof Schriftsätze nur an die Parteien weiterleiten darf und das Recht zur Akteneinsicht in gerichtliche Akten im Interesse der Parteien eingeschränkt sei. Diese juristische Begründung ist keinesfalls tragfähig. Als Verfahrensbeteiligter ist Breyer nicht an die Vorschriften gebunden, die die Frage der Akteneinsicht durch das Gericht regeln. Zudem hat Breyer als Partei des Verfahrens ersichtlich gerade kein Interesse an einer Geheimhaltung und die Kommission kann sich als Behörde, die dazu verpflichtet ist, die Öffentlichkeit über grundrechtsintensive Materien wie die Vorratsdatenspeicherung zu informieren, insoweit nicht auf ein Geheimhaltungsbedürfnis berufen. Wenn die Kommission damit argumentiert, es gäbe keine rechtliche Grundlage dafür, dass eine Partei ihre eigenen Schriftsätze veröffentlicht, so ist dem entschieden zu widersprechen. Ein Bürger braucht keine rechtliche Grundlage dafür zu handeln. Nur staatliches Handeln bedarf einer ausdrücklichen rechtlichen Grundlage.

Obwohl Art. 42 der Charta der Europäischen Grundrechte ausdrücklich vorsieht, dass Unionsbürger das Recht auf Zugang zu den Dokumenten des Europäischen Parlaments, des Rates und der Kommission haben, betreibt die Kommission bei Themen wie der Vorratsdatenspeicherung eine Politik der Informationsunterdrückung. Und das hat einen ganz einfachen Grund: Wären alle verfügbaren Informationen zur Vorratsdatenspeicherung öffentlich, dann würde sich sehr schnell zeigen, dass es keinen belastbaren Nachweis für einen kriminalistischen Nutzen der Vorratsdatenspeicherung gibt und bislang von keinem einzigen Mitgliedsstaat entsprechende Nachweise vorgelegt werden konnten.

Wenn sich die Kommission für ihre Verletzung von Art. 42 der Europäischen Grundrechtscharta auf Dienstanweisungen für den Kanzler des EuGH beruft, mutet dies geradezu grotesk an. Das europäische Demokratiedefizit, das sich gerade auch an der mangelnden demokratischen Legitimation der Kommission zeigt, wirkt hier offenbar unmittelbar. Der Kommission liegt nämlich ganz offensichtlich das Handeln nach Gutsherrenart weiterhin näher als das nach rechtsstaatlichen Grundsätzen.

Ein Forschungsgruppe der Uni Bamberg – die von Trusted Shops fachlich und operativ unterstützt wird – ist zu dem Ergebnis gelangt, dass knapp jede fünfte Warenrücksendung (19,1 %) nach Ausübung des Widerrufsrechts bei Fernabsatzgeschäften missbräuchlich sei.

Diese Annahme ist – worauf im shopbetreiber-blog auch hingewiesen wird – bereits deshalb problematisch, weil es im Rechtssinne keinen Missbrauch darstellt, wenn jemand von seinem gesetzlichen Widerrufsrechts gebrauch macht. Die Forschungsgruppe definiert es als missbräuchlich, wenn jemand mit dem Vorsatz bestellt, die Ware innerhalb der Widerrufsfrist zu nutzen und dann an den Händler zurückzuschicken.

Nachdem die Zahlen auf Umfragen bei Versandhändlern beruhen, sind sie zudem mit Vorsicht zu genießen. Denn der Kunde muss keinen Grund für den von ihm erklärten Widerruf angeben. Das heißt aber auch, dass der Händler den Grund für den Widerruf im Regelfall nicht kennt. Ob der Kunde also von Anfang an vorhatte, den Vertrag nicht zu erfüllen und zu widerrufen, lässt sich daher in den meisten Fällen nicht zuverlässig feststellen.

Ob die EU derartige Studien zum Anlass nehmen wird, das Widerrufsrecht in irgendeiner Form zu erschweren oder einzuschränken, zum Beispiel dadurch, dass man dem Verbraucher einen Teil der Versandkosten aufbürdet, halte ich für eher zweifelhaft.

Interessant wäre zudem auch die Klärung der Frage, wie häufig es umgekehrt passiert, dass ein Händler die Rückabwicklung verweigert, obwohl fristgerecht ein Widerruf erklärt worden ist.

Jetzt trage ich mich schon eine Weile mit dem Gedanken, etwas zum Urheberrechtsentwurf der NRW-Piraten zu bloggen, habe dies bislang aber auch angesichts der Komplexität des Themas nicht geschafft. Adrian Schneider von Telemedicus ist mir – wie auch beim Entwurf der Berliner Piraten – zuvorgekommen. Adrians ausführliche und fundierte Stellungnahme bedarf keiner Wiederholung, weshalb ich mich auf ein paar grundsätzliche, aber m.E. wesentliche Aspekte beschränken möchte.

Der Entwurf der nordrhein-westfälischen Piraten vermittelt den Eindruck, als sei alles, was man dort vorgeschlagen hat, auch problemlos durch den nationalen Gesetzgeber regelbar. Das ist es aber nicht. Vielmehr sind eine ganze Reihe von Regelungen enthalten, die ersichtlich nicht mit den einschlägigen völkerrechtlichen Verträgen – wie z.B. dem TRIPS-Abkommen – mit europarechtlichen Vorgaben und vermutlich auch nicht mit dem deutschen Verfassungsrecht – jedenfalls wenn man die bisherige Rechtsprechung des BVerfG als Maßstab nimmt – vereinbar sind.

Das möchte ich anhand von zwei Beispielen aus dem Entwurf verdeutlichen, nämlich der Schutzfristenverkürzung in § 64 des Entwurfs auf 10 Jahre sowie die Beschränkung von Unterlassungs- und Schadensersatzansprüche auf Fälle des Vorsatzes.

Europarechtlich ist die Schutzdauer von urheberrechtlichen Werken u.a. durch die Richtlinie 2006/116/EG – die kürzlich noch erweitert wurde – weitgehend auf 70 Jahre nach dem Tod des Urhebers festgeschrieben. Diese europarechtlichen Vorgaben sind verbindlich. Wenn man daran etwas ändern will, muss man also auf eine Änderung der Richtlinien hinwirken. Aber auch damit ist es nicht getan, weil völkerrechtliche Verträge, denen die Bundesrepublik beigetreten ist, Mindestschutzfristen vorsehen.  Die sog. Revidierte Berner Übereinkunft verlangt eine Schutzdauer von mindestens fünfzig Jahren über den Tod des Urhebers hinaus. Deutschland müsste also zunächst eine Änderung der europarechtlichen Vorgaben erreichen und zudem völkerrechtliche Verträge aufkündigen, bevor eine gesetzliche Regelung über eine Verkürzung von Schutzfristen in Frage kommt.

Für die Beschränkung des Unterlassungsanspruchs und des Schadensersatzanspruchs gilt ähnliches. Adrian Schneider hat bereits darauf hingewiesen, dass damit der Schutz des Urheberrechts praktisch leerlaufen würde, zumal Vorsatz, von Ausnahmefällen abgesehen, zumeist nicht nachweisbar ist. Das TRIPS-Abkommen verlangt, dass gegen einen Verletzer, der wußte oder vernünftigerweise hätte wissen müssen, dass er eine Verletzungshandlung vorgenommen hat, Schadensersatz vorzusehen ist. Das heißt nichts anderes, als, dass Schadensersatz auch in Fällen von Fahrlässigkeit zwingend vorgesehen sein muss. Die von den NRW-Piraten vorgeschlagene Neuregelung des § 97 UrhG verstößt zudem gegen die Enforcement-Richtlinie, die in Art. 13 eine dem TRIPS-Abkommen vergleichbare Regelung enthält. U.a. aus der Enforcement-Richtlinie ergibt sich im übrigen auch, dass das Gemeinschaftsrecht von verschuldensunabhängigen Unterlassungsansprüchen ausgeht.

Wenn es an dieser Stelle nur darum gegangen wäre, die Störerhaftung (einschränkend) zu regeln, hätte es sich angeboten, zwischen Verletzer und Störer zu differenzieren und insoweit ein abgestuftes Haftungskonzept zu schaffen. Das wäre bei einer entsprechenden Ausgestaltung mit den Vorgaben des Europa- und Völkerrechts in Einklang zu bringen.

Auch die Regelungen zu den Schrankenbestimmungen (§§ 44 a. ff UrhG) werden mittlerweile europarechtlich überlagert, weshalb sich auch hier die Frage stellt, wie groß der Gestaltungsspielraum des nationalen Gesetzgebers überhaupt noch ist. Hierzu sind derzeit einzelne Verfahren beim EuGH anhängig – der BGH hat unlängst in diesem Bereich erst wieder eine Einzelfrage vorgelegt – die möglicherweise Aufschluss darüber geben werden, wo der EuGH hier grundsätzlich die europarechtlichen Grenzen zieht.

Das nationale Urheberrecht wird also von einem komplexen System europarechtlicher und völkerrechtlicher Regelungen überlagert, das den Gestaltungsspielraum des deutschen Gesetzgebers erheblich einschränkt.

Was mich an dem Entwurf der NRW-Piraten, änhlich wie an dem der Berliner Piraten, außerdem stört, ist der Umstand, dass man die Bereiche die regelbar sind, nicht oder nur unzureichend in Angriff nimmt. Das betrifft insbesondere das Urhebervertragsrecht, durch das die Position der eigentlichen Urheber gestärkt werden könnte und müsste. Hierauf habe ich wiederholt hingewiesen.

Der Entwurf der NRW-Piraten ist insgesamt deutlich durchdachter und ausgefeilter als der der Berliner Piraten. Leider blendet er aber die europarechtlichen und völkerrechtlichen Vorgaben praktisch komplett aus, was zu Regelungsvorschlägen führt, die mit höherrangigem Recht teilweise nicht vereinbar sind. Die Urheberrechtsdebatte muss in vielen Bereichen mittlerweile (mindestens) auf europäischer Ebene geführt werden.

Unser Internet soll sauberer werden. Das meint zumindest das von der EU geförderte Clean-IT-Project. Erklärtes Ziel der Projektgruppe ist es, die terroristische Nutzung des Internets einzudämmen. Zu diesem Zweck führt man einen „Public-Private-Dialogue“, wie es auf der Website des Projekts offiziell heißt. Man kennt dieses Prinzip bereits, denn Provider, soziale Medien und Portalbetreiber sollen dieses Vorhaben unterstützen.

EDRi hat heute ein Diskussionspapier der Clean-IT-Gruppe geleakt, das offenbar nicht zur Veröffentlichung vorgesehen war. Inhaltlich ist es möglicherweise nicht ganz so spektakulär, wie man bei netzpolitik.org meint, zumindest wenn man das gelesen hat, was die Projektgruppe bereits selbst veröffentlicht hat.

Gleichwohl sind bürgerrechtliche Bedenken angebracht. Allein der aus einem Fact-Sheet der Projektgruppe stammende Satz

Results of this project can possibly be translated to other types of illegal use of the internet as well

sollte nachdenklich stimmen. Denn es geht wieder einmal darum, Informationsvermittler wie Provider oder soziale Medien dazu zu bewegen, im Rahmen des in Deutschland wohlbekannten Konzepts der freiwilligen Selbstverpflichtung, illegale Inhalte im Netz zu sperren, filtern und auszublenden. Im Rahmen der Debatte um das Zugangserschwerungsgesetz wurde nun wirklich rauf und runter erläutert, warum dieser Ansatz zwangsläufig zu Chilling Effects führt, die die Meinungs- und Informationsfreiheit gefährden. Als hätte es die Netzsperren-Debatte nie gegeben, versucht die Politik aber weiterhin das Internet zu kontrollieren und präsentiert hierfür die immergleichen Ansätze in wechselnden Gewändern.

Abgesehen von der inhaltlichen Fragwürdigkeit sehr vieler der diskutierten Maßnahmen, ist vor allem der nicht gesetzgeberische Ansatz – wie es sogar offiziell heißt – im Rahmen von Public-Private-Partnerships problematisch. Denn damit wird die Grundrechtsbindung des Staates umgangen und das in einem äußerst grundrechtsintensiven Bereich. Die Grundrechtseingriffe sollen von den Akteuren des Netzes „freiwillig“ vorgenommen und damit quasi privatisiert werden.

Hier braut sich gerade wieder etwas zusammen, auf das die Bürgerrechtler ein Auge haben müssen. Und bevor wir wieder ausschließlich auf die EU schimpfen, sollte man erwähnen, dass das Bundesministerium des Inneren offizieller Projektpartner von Clean IT ist. Wie hätte es auch anders sein können.

Der EuGH hat gestern (Urteil vom 06.09.2012, Az.: C?190/11) über die Frage entschieden, unter welchen Voraussetzungen ein Verbraucher den im Ausland ansässigen Verkäufer in seinem Heimatland verklagen kann.

Eine Österreicherin hatte über die Onlineplattform „mobil[e].de“ nach einem Auto gesucht und wurde schließlich zu einem Angebot eines deutschen KFZ-Händlers mit Sitz in Hamburg weitergeleitet. Der Kaufvertrag wurde aber dann nicht über das Internet geschlossen, sondern in Hamburg, wo die Österreicherin das Fahrzeug auch abholte.

Die Österreicherin verklagte später den deutschen Autohändler auf Rückabwicklung des Fahrzeugs wegen des Vorliegens von Mängeln vor einem österreichischen Gericht. Die österreichischen Gerichte waren zunächst der Ansicht, dass sie für die Sache nicht zuständig sind, sondern die internationale Zuständigkeit deutscher Gerichte gegeben sei. Der OGH hat das Verfahren dann an den EuGH vorgelegt.

Der EuGH hat nun entschieden, dass die maßgebliche Vorschrift von Art. 15 Abs. 1 Buchst. c der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 (Brüssel?I?Verordnung) dahingehend auszulegen ist, dass der Vertrag nicht im Fernabsatz geschlossen sein muss. Vielmehr ist es ausreichend ist, wenn man sich als Unternehmer mit einem Internetauftritt auch auf das Publikum des Mitgliedsstaats des Verbrauchers ausrichtet. Diese letzte Voraussetzung hat der EuGH allerdings nicht mehr explizit geprüft, weil es bereits von den österreichischen Gerichten bejaht wurde.

Im Ergebnis bedeutet das, dass Verbraucher selbst dann in ihrem Heimatstaat klagen können, wenn der Vertrag im EU-Ausland geschlossen wurde, solange der Händler/Unternehmer seine Leistung zuvor im Netz auch für Verbraucher aus anderen EU-Staaten beworben hat.

Die EU-Kommission hat gerade ein öffentliches Konsultationsverfahren zur Etablierung eines Notice-And-Take-Down-Verfahrens – sie nennt es notice & action – durchgeführt. Hintergrund sind Überlegungen, in Art. 14 der E-Commerce-Richtlinie eine Regelung über ein formalisertes Notice-And-Take-Prozedere, offenbar nach dem Vorbild des amerikanischen DMCA, aufzunehmen.

Der Digital Millennium Copyright Act (DMCA)  sieht ein sog. Notice-And-Take-Down-Verfahren vor, das einen Hoster vollständig aus der Haftung für eine Urheberrechtsverletzung entlässt, sofern er auf einen entsprechenden Hinweis hin den beanstandeten Content umgehend vom Netz nimmt. Wozu das führt, zeigt ein aktueller Berichts von Heise-Online.

Wenn man Hoster und Portalbetreiber gesetzlich ermuntert, möglichst zügig zu löschen, sobald auch nur eine Löschaufforderung eines (vermeintlich) Verletzten vorliegt, dann muss das zwangsläufig dazu führen, dass in großem Maße gerade auch solche Inhalte gelöscht werden, die in Wirklichkeit keinerlei Rechte verletzen.

Denn der Hoster oder Portalbetreiber hat in vielen Fällen überhaupt keine Möglichkeit zu überprüfen, ob tatsächlich eine Rechtsverletzung vorliegt. Und es ist auch die Frage, ob das überhaupt seine Aufgabe sein kann.

Mit diesem Problem bin ich in meiner anwaltlichen Beratungspraxis fast jede Woche konfrontiert und zwar manchmal aus dem Blickwinkel eines Portalbetreibers und ein andermal mal aus Sicht desjenigen, der sich in seinen Rechten verletzt fühlt. Zumeist geht es hier gar nicht um Fragen des Urheberrechts, sondern um äußerungsrechtliche Auseinandersetzungen.

Der BGH hat für solche Fälle faktisch bereits eine Art Notice-And-Take-Down-Verfahren postuliert und damit möglicherweise eine Rechtsfortbildung betrieben, die ihm nicht zusteht.

Nach meiner (rechtspolitischen) Einschätzung, sollte ein Hoster oder Portalbetreiber überhaupt nur dann Content seiner Nutzer/Kunden löschen, wenn ihn ein Gericht oder eine Behörde förmlich dazu verpflichtet hat, oder wenn eine für jedermann offensichtliche Straftat vorliegt. Dass die Klärung von oftmals schwierigen Sach- oder Rechtsfragen durch ein Gericht erfolgt und nicht einem Provider oder Portalbetreiber überlassen werden kann, ist nicht zuletzt auch ein Gebot der Rechtsstaatlichkeit. Mit einem Notice-And-Take-Down-Verfahren werden ohne Beachtung des Rechtswegs nämlich rechtliche Fakten geschaffen, die in nicht wenigen Fällen auf eine nicht hinnehmbare Informationsunterdrückung hinauslaufen.

Das deutsche und europäische Recht sind von dieser Betrachtungsweise allerdings noch weit entfernt und es hat auch nicht den Anschein, als würde die Kommission in diese Richtung marschieren wollen.

Die Kollegen Härting und Schneider, die schon seit längerer Zeit eine weitreichende Reform des Datenschutzrechts fordern, haben nunmehr eine ausformulierte Alternative zum Entwurf einer Datenschutzgrundverordnung, den die EU-Kommission vor einigen Monaten vorgelegt hatte, vorgestellt.

Der Vorschlag von Härting und Schneider läuft auf einen Paradigmenwechsel hinaus, der mir zumindest im Grundsatz aber auch notwendig erscheint.

Wesentlich am Vorschlag von Härting/Schneider ist die Differenzierung zwischen personenbezogenen und sensiblen Informationen. Damit würde im Datenschutzrecht erstmals eine Abstufung nach dem Inhalt und der Bedeutung der Information für den Betroffenen vorgenommen. Das geltende Datenschutzrecht schützt alle personenbezogenen Daten gleichermaßen und zwar völlig unabhängig davon, wie schwer beispielsweise eine Weitergabe der konkreten Infomation für den Betroffenen tatsächlich wiegt. Als sensible Informationen sehen Härting/Schneider allerdings nur solche an, die der Intimsphäre des Betroffenen entstammen. Das ist meines Erachtens nicht sachgerecht, weil es eine ganze Reihe sensibler Daten gibt, die nicht aus der Intimsphäre stammen, an denen aber dennoch ein berechtigtes Geheimhaltungsinteresse des Betroffenen bestehen kann. Die Differenzierung von Härting/Schneider ist zwar grundsätzlich sinnvoll, die Gleichsetzung sensibler und intimer Daten erscheint allerdings zu eng.

Zweiter zentraler Aspekt des Entwurfs von Härting/Schneider ist eine Abkehr vom Verbotsprinzip. Das geltende Datenschutzrecht geht davon aus, dass eine Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, der Betroffene willigt ein oder eine gesetzliche Vorschrift erlaubt die Datenverarbeitung ausdrücklich (Verbot mit Erlaubnisvorbehalt). Schneider und Härting wollen demgegenüber als Grundsatz festschreiben, dass die Datenverarbeitung zunächst erlaubt sein soll. In ihrem § 5 Abs. 2 S. 1 heißt es deshalb:

Die Erhebung personenbezogener Informationen ist erlaubt.

Diese grundsätzliche gesetzliche Erlaubnis wird nach dem Konzept von Härting/Schneider dann dadurch eingeschränkt, dass der Datenverarbeiter verpflichtet ist, Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen. Anstelle eines Verbots mit Erlaubnisvorbehalt tritt ein Abwägungsgebot.

Lediglich dann, wenn es sich um Angaben handelt, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist dann berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, sofern seine schutzwürdigen Interessen der Datenverarbeitung entgegenstehen.

Diese Widerspruchslösung für Daten, die aus der Privat- oder Intimsphäre des Betroffenen stammen, ist allerdings schwerlich mit der Rechtsprechung des Bundesverfassungsgerichts zum Schutz des Persönlichkeitsrechts vereinbar. Denn Informationen, die der Intimsphäre des Betroffenen entstammen genießen danach absoluten, solche der Privatsphäre zumindest noch überwiegenden Schutz. Das bedeutet, Informationen aus der Intimsphäre des Betroffenen dürfen überhaupt nicht weitergegeben oder veröffentlicht werden, solche aus der Privatsphäre nur dann, wenn ein besonders bedeutsames Interesse der Allgemeinheit gegeben ist. Vor diesem Hintergrund genügt die bloße Möglichkeit zu widersprechen, den verfassungsrechtlichen Anforderungen nicht.

Diese Problematik wird in dem Entwurf von Härting/Schneider aber letztlich dadurch wieder abgemildert, dass § 8 Abs.1 des Entwurfs für die Verabreitung sensibler Informationen eine vorheriger Zustimmung (Einwilligung) des Betroffenen oder eine gesetzliche Gestattung verlangt. Für diese sensiblen Daten, die allerdings wie gesagt auf Informationen aus der Intimsphäre beschränkt sind, kehren Härting/Schneider dann eben doch zum Prinzip des Verbots mit Erlaubnisvorbehalt zurück.

Die Erstellung von Bewegungsprofilen und Nutzerprofilen wollen Härting/Schneider übrigens nur dann von einer Einwilligung des Betroffenen abhängig machen, wenn die Auswertung Aussagen über die Intimsphäre enthalten kann.

Der Alternativentwurf von Härting/Schneider stimmt zwar von seiner Stoßrichtung her, bietet im Detail aber Anlass zur Kritik. Nachdem der Entwurf allerdings, wie eingangs gesagt, einen datenschutzrechtlichen Paradigmenwechsel bewirken würde, ist nicht damit zu rechnen, dass sich für diesen Ansatz in der (aktuellen) politischen Diskussion eine europaweite Mehrheit finden wird.

Sämtliche Landespressegesetze enthalten eine Regelung, wonach eine entgeltliche Veröffentlichung kenntlich zu machen und deutlich als Anzeige zu kennzeichnen ist. Das baden-württembergische Pressegesetz lautet beispielsweise wie folgt:

§ 10 Kennzeichnung entgeltlicher Veröffentlichungen

Hat der Verleger eines periodischen Druckwerks oder der Verantwortliche (§ 8 Abs. 2 Satz 4) für eine Veröffentlichung ein Entgelt erhalten, gefordert oder sich versprechen lassen, so hat er diese Veröffentlichung, soweit sie nicht schon durch Anordnung und Gestaltung allgemein als Anzeige zu erkennen ist, deutlich mit dem Wort „Anzeige“ zu bezeichnen.

Damit wird der Presse sog. Schleichwerbung verboten. Diese Regelung könnte allerdings gegen EU-Recht verstoßen, weil die Richtlinie über unlautere Geschäftspraktiken abschließend regelt, welche Geschäftspraktiken im Geschäftsverkehr zwischen Unternehmen und Verbrauchern als unlauter anzusehen und deshalb unzulässig sind. Mit Beschuss vom 19.07.2012 (Az.: I ZR 2/11) hat der BGH diese Frage dem EuGH zur Entscheidung vorgelegt.

Die Mitgliedstaaten dürfen im Anwendungsbereich der Richtlinie grundsätzlich keine strengeren als die in der Richtlinie festgelegten Maßnahmen erlassen, und zwar auch dann nicht, wenn damit ein höheres Verbraucherschutzniveau erreichet werden soll.

Der BGH neigt dennoch – m.E. zu Recht – dazu, die Reglungen der Pressegesetze für europarechtskonform zu halten. Im Beschluss heißt es hierzu:

Andererseits ist zu erwägen, ob die im Unionsrecht geregelten Trennungsgebote nicht Ausdruck der verfassungsrechtlich garantierten Rundfunk- und Pressefreiheit sind, die nicht nur im nationalen Recht (Art. 5 Abs. 1 GG) und in der Europäischen Konvention der Menschenrechte (Art. 10 Abs. 1 EMRK), sondern auch in der Charta der Grundrechte der Europäischen Union (Art. 11 EU-Grundrechtecharta) verankert ist. Müssten die Bestimmung des § 10 LPresseG und dem folgend die entsprechenden Regelungen des Trennungsgebots in den anderen Bundesländern richtlinienkonform in der Weise ausgelegt werden, dass sie nur bei Vorliegen der zusätzlichen lauterkeitsrechtlichen Tatbestandsvoraussetzungen angewandt werden können, wäre die Durchsetzung des presserechtlichen Trennungsgebots im Hinblick auf von Dritten finanzierte redaktionelle Inhalte ausgeschlossen, wenn die Dritten damit keine kommerziellen, sondern beispielsweise allein politische Zwecke verfolgten und daher auch keine Gefahr bestünde, dass Verbraucher zu einer geschäftlichen Entscheidung veranlasst werden, die sie ansonsten nicht getroffen hätten.