Internet-Law

In den USA laufen derzeit kartellrechtliche Ermittlung wegen des Vorwurfs, Google würde die Suchergebnisse manipulieren bzw. gezielt eigene Produkte bzw. Inhalte die von Google-Plattformen stammen, bevorzugen.

Google hat diesbezüglich ein Rechtsgutachten in Auftrag gegeben, das zu einem interessanten Ergebnis gelangt. Diese gezielte Einflussnahme auf Suchergebnisse sei von der Meinungsfreiheit gedeckt, argumentiert der mit dem Gutachten beauftragte Rechtswissenschaftler Eugene Volokh, denn ebenso wie Zeitungen oder Lexika müsse Google das Recht zugestanden werden, eine redaktionelle, thematische Auswahl und Gewichtung vorzunehmen.

Abgesehen davon, dass man mit diesem Ansatz jedwede Wettbewerbsverzerrung rechtfertigen könnte, womit das Kartell- und Wettbewerbsrecht letztlich hinfällig wäre, ist dieser Ansatz für Google zumindest aus europäischer Sicht noch aus einem Grund brandgefährlich.

Denn wenn Google eine redaktionelle Arbeitsweise für sich reklamiert – was mir in der Tat neu ist – dann müsste dies natürlich auch eine Verschärfung der Haftung von Google mit sich bringen. Denn nur bei einem neutralen und rein technischen Informationsvermittler lässt sich eine weitgehende Haftungsfreistellung für die in den Suchergebnissen angezeigten Inhalte begründen. Wer solche Inhalte allerdings gezielt und nach journalistisch-redaktionellen Kriterien auswählt, der muss dann auch eine Haftung für die dermaßen geprüften Inhalte in Kauf nehmen.

Möglicherweise hat man die Argumentation Googles beim Landgericht Hamburg ja mit Interesse gelesen. Google kratzt damit m.E. aber auch an dem bisherigen (Selbst-)Verständnis von Suchmaschinen.

(via presseschauder)

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70′er und 80′er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.

Nach einer neuen Entscheidung des Landgerichts Berlin (Urteil vom 5. April 2012, Az.: 27 O 455/11) haftet Google für (anonyme) Erfahrungsberichte auf Google Maps entsprechend der vom BGH entwickelten Grundsätze einer beschränkten Störerhaftung von Host-Providern.

Das ist im Ansatz sicherlich zutreffend. Ob das Landgericht Berlin die richtigen Schlussfolgerungen aus der Entscheidung des BGH gezogen hat, ist dennoch fraglich. Das Landgericht stützt die Störerhaftung von Google offenbar primär auf den Umstand, dass Google nicht versucht hat, eine Stellungnahme des Verfassers einzuholen. Ob dieser Umstand allein allerdings eine Störerhaftung begründet, weil bereits dadurch eine (zumutbare) Prüfpflicht verletzt worden ist, hat der BGH in dieser Form nicht entschieden. Im Fall des Landgerichts Berlin liegt außerdem ein – von der Meinungsfreiheit gedecktes – Werturteil durchaus näher als in dem vom BGH entschiedenen Fall. Hier scheint mir etwas vorschnell eine Tatsachenbehauptung angenommen worden zu sein.

Andererseits kann auf Google Maps nur derjenige einen Erfahrungsbericht verfassen, der als Nutzer angemeldet ist. Google verfügt also zumindest über Kontaktdaten des Verfassers und hätte durchaus die Möglichkeit, den Autor um eine Stellungnahme zu bitten.

Wie ist allerdings die Situation zu beurteilen, wenn man als Forenbetreiber oder Blogger tatsächlich, entsprechend der gesetzlichen Vorgabe des § 13 Abs. 6 TMG, eine anonyme Nutzung gewährleistet? In diesem Fall kann man als Betreiber mit dem Verfasser eines Kommentars keinen Kontakt aufnehmen, weil man noch nicht einmal eine E-Mail-Adresse erfasst hat. Soll dies also dann dazu führen, dass man damit automatisch als Störer haftet, weil man zumutbare Prüfpflichten verletzt hat, obwohl einen das Gesetz andererseits dazu anhält, eine anonyme Nutzung zu ermöglichen? Bereits diese Überlegung zeigt, dass nur wegen einer fehlenden Rückfrage beim Verfasser schwerlich eine Störerhaftung bejaht werden kann.

Man darf auf die zu erwartende Berufung gespannt sein.

Das Landgericht Hamburg hat YouTube bzw. Google heute auf Antrag der GEMA dazu verurteilt, es zu unterlassen, sieben Musiktitel öffentlich zugänglich zu machen. Nachdem mittlerweile die offizielle Pressemitteilung des Landgerichts vorliegt, erscheint mir eine erste Einschätzung möglich.

Das Landgericht betrachtet YouTube als sog. mittelbaren Störer – nicht als Täter – der Urheberrechtsverletzung. YouTube ist nach dem Urteil dazu verpflichtet, entsprechende Videos nach einem Hinweis auf eine Urheberrechtsverletzung unverzüglich zu sperren und in zumutbarem Rahmen anschließend Maßnahmen zu ergreifen, um erneute Rechtsverletzungen zu verhindern. Eine Verpflichtung zur Kontrolle sämtlicher bereits hochgeladener Videoclips besteht nach der Entscheidung des Gerichts aber nicht.

Dennoch sei es YouTube zuzumuten, nach Erhalt eines Hinweises auf eine Urheberrechtsverletzung durch den Einsatz einer Software künftige Uploads zu unterbinden, die eine mit dem gemeldeten Musikstück übereinstimmende Aufnahme enthalten. Nach Ansicht des Landgerichts verfügt YouTube bereits über eine entsprechende Software, nämlich ihr eigenes Content-ID-Programm. Dieses Tool muss YouTube nach der Entscheidung des Gerichts allerdings selbst einsetzen und kann die GEMA bzw. die Rechteinhaber nicht darauf verweisen.

Der Logik des Gerichts folgend bedeutet dies folgendes: Wenn die GEMA oder ein Rechteinhaber YouTube auf einen Verstoß aufmerksam macht, dann müsste YouTube im Rahmen des Einsatzes des Programms Content-ID von sich aus den betreffenden Musiktitel in einen geschützten Bereich uploaden, damit anschließend der für die Unterbindung künftiger Uploads notwendige Abgleich durchgeführt werden kann.

Darüber hinaus ist das Landgericht der Meinung, dass YouTube verpflichtet sei, einen Wortfilter zu installieren. Der Wortfilter soll neu eingestellte Videos herausfiltern, die den Titel als auch den Interpreten der beanstandeten Musikaufnahme enthalten.

Das Landgericht Hamburg versucht sich mit dieser Entscheidung auf der Linie der Internet-Versteigerungs-Entscheidungen des BGH zu bewegen. Ob man YouTube allerdings tatsächlich mit eBay vergleichen und gleichgelagerte Prüfpflichten fordern kann, halte ich zumindest für diskussionswürdig. Es stellt sich außerdem die Frage, ob diese Betrachtung noch mit der neuesten Rechtsprechung des EuGH zur Frage von Filterpflichten sozialer Netzwerke in Einklang zu bringen ist.

Sofern es nicht zu einer wirtschaftlichen Lösung kommt, dürfte damit zu rechnen sein, dass Google/YouTube Berufung gegen das Urteil einlegen wird.

Update vom 25.04.2012:
Das Urteil liegt mittlerweile im Volltext vor. Bezüglich der vom Gericht angenommenen Verpflichtung wird das ausgeführt, was ich bereits aufgrund der Pressemitteilung vermutet hatte. Das Landgericht führt aus:

Es ist der Beklagten insoweit zuzumuten, das jeweils als Rechtsverletzung gemeldete konkrete Video selbst als Referenzdatei in das Content-ID Programm einzustellen und sämtliche künftig hochgeladenen Videos mit übereinstimmenden Musikaufnahmen mittels dieser Software für das Gebiet der Bundesrepublik Deutschland zu sperren. Im Zusammenhang damit ist ein System zu installieren, das im Falle des Widerspruchs eines Nutzers, dessen Video von der Sperrung betroffen ist, eine unmittelbare Klärung zwischen dem Rechteinhaber und dem Nutzer zulässt.

YouTube wird letztlich hier auch zum Verhängnis, dass es mit dem Content-ID-Programm bereits ein eigenes Verfahren zur Unterbindung solcher Rechtsverletzungen in Betrieb hat und sich deshalb schlecht darauf berufen kann, dies sei technisch nicht möglich. Es verbleibt allerdings die interessante Frage, ob man es im Rahmen der Prüfpflichten der Störerhaftung für rechtlich zumutbar hält, dass YouTube das beanstandete Musikvideo selbst als Referenzdatei in das Content-ID-System hochlädt, um anschließend ein Matching durchzuführen, das den weiteren Upload derselben Datei verhindert.

Der Bundesgerichtshof hat bereits vor einiger Zeit entschieden, dass die Vorschaubilder (Thumbnails) bei der Google-Bildersuche die Rechte des Fotografen bzw. des Urhebers des abgebildeten Werks nicht verletzen. Der BGH geht davon aus, dass ein Urheber, der eine Abbildung eines urheberrechtlich geschützten Werkes ins Netz stellt, ohne technisch mögliche Vorkehrungen gegen ein Auffinden und Anzeigen dieser Abbildung durch Suchmaschinen zu treffen, damit durch schlüssiges Verhalten seine Einwilligung in eine Wiedergabe der Abbildung als Vorschaubild durch eine Suchmaschine erklärt.

An diese Entscheidung knüpft jetzt ein neues Urteil des BGH (Az.: I ZR 140/10)  an, in dem diese Rechtsprechung nochmals bestätigt und zudem erweitert wird.

In dieser neuen Entscheidung besteht der Sonderfall darin, dass das besagte Foto an der konkreten Quelle ohne Zustimmung des Fotografen und damit urheberrechtswidrig online war. In dieser Konstellation kann man eigentlich auch zugunsten von Google nicht mit einer schlüssigen Einwilligung des Fotografen argumentieren.  Der BGH bedient sich deshalb eines durchaus überraschenden Kunstgriffs und erklärt, dass es ausreichend ist, wenn der Fotograf/Urheber überhaupt irgendjemand das Recht eingeräumt hat, das Werk über das Internet öffentlich zugänglich zu machen. Denn damit sei auch allgemein in eine Indizierung und Darstellung durch eine Suchmaschine als Vorschaubild eingewilligt worden. Dass die Suchmaschine das Bild dann von einer Website indiziert, deren Betreiber keine urheberrechtlichen Nutzungsrechte hatte, hält der BGH für unerheblich.

Hierzu führt der BGH wörtlich aus:

Die mit Zustimmung des Klägers erklärte Einwilligung in die Anzeige von Abbildungen der Fotografie als Vorschaubild ist nicht auf die Anzeige von Abbildungen der Fotografie beschränkt, die mit Zustimmung des Klägers ins Internet eingestellt worden sind. Für die Auslegung der Einwilligung kommt es auf den objektiven Erklärungsinhalt aus der Sicht des Erklärungsempfängers an (vgl. BGHZ 185, 291 Rn. 36 – Vorschaubilder I). Es ist allgemein bekannt, dass Suchmaschinen, die das Internet in einem automatisierten Verfahren unter Einsatz von Computerprogrammen nach Bildern durchsuchen, nicht danach unterscheiden können, ob ein aufgefundenes Bild von einem Berechtigten oder einem Nichtberechtigten ins Internet eingestellt worden ist. Deshalb kann der Betreiber einer Suchmaschine die Einwilligung in die Wiedergabe von Abbildungen eines Werkes oder Lichtbildes als Vorschaubild nach ihrem objektiven Erklärungsinhalt nur dahin verstehen, dass sie sich auch auf die Wiedergabe von Abbildungen des Werkes oder der Fotografie erstreckt, die nicht vom Berechtigten oder mit seiner Zustimmung von einem Dritten ins Internet eingestellt worden sind. Hat der Berechtigte oder mit seiner Zustimmung ein Dritter die Einwilligung zum Aufsuchen und Anzeigen von Abbildungen eines vom Berechtigten geschaffenen Werkes oder Lichtbildes durch Bildersuchmaschinen erteilt, verhält der Berechtigte sich daher widersprüchlich, wenn er von dem Betreiber einer Suchmaschine verlangt, nur Vorschaubilder solcher Abbildungen des Werkes oder Lichtbildes anzuzeigen, die vom Berechtigten oder mit seiner Zustimmung von Dritten ins Internet eingestellt worden sind. Ein solches Verhalten ist daher auch unter dem Gesichtspunkt einer protestatio facto contraria unbeachtlich (vgl. BGHZ 185, 291 Rn. 37 – Vorschaubilder I).

Der BGH setzt damit seine ausgesprochen suchmaschinenfreundliche Rechtsprechung fort. Vielleicht zum ersten Mal ist auch ein erotisches Farbfoto als unmittelbarer Bestandteil einer BGH-Entscheidung zu bestaunen.

Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.

Google  will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.

Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.

Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:

Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.

Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:

Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:

• Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
• Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
• IP-Adresse.
• Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
• Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:

Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.

Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.

Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:

Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.

Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.

Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.

Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).

Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.

Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.

Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.

Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.

Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.

Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70′er und 80′er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.

Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in diesem Punkt einem Trauerspiel.

Was fehlt, ist eine ehrliche und offene Analyse des Ist-Zustands. Impulse hierfür kommen derzeit aus der Rechtswissenschaft und Teilen der Internet-Community, aber nicht aus der Politik und noch weniger von den Datenschutzaufsichtsbehörden. Der Enwurf der EU-Kommission lässt ebenfalls nicht erkennen, dass eine solche Analyse statgefunden hätte. Wenn die geplante Verordnung in dieser oder ähnlicher Form in Kraft tritt, wird ein bereits gescheitertes Grundkonzept nochmals über Jahre hinweg festgeschrieben.

Die Schieflage der gesamten Diskussion zeigt sich aber noch an anderen Umständen. Die EU übermittelt Bankdaten und Fluggastdaten ihrer Bürger in äußerst großzügiger und unkontrollierter Art und Weise an die USA. Damit wird die Idee des europäischen Datenschutzes, wonach eine Übermittlung an Stellen außerhalb der EU erhöhten Anforderungen unterliegt, auf den Kopf gestellt. Auch andere Fälle belegen, dass der Staat selbst vielfach wenig von Datenschutz hält. Dieses Messen mit zweierlei Maß führt insgesamt zu einer Legitimationskrise des Datenschutzrechts.

Während man einerseits gerne kleinteilig über datenschutzrechtliche Nebenaspekte wie Google Street View diskutiert, werden andererseits sensible Daten von Bürgern bereitwillig an ausländische Staaten übermittelt. In dieser Situation fällt es mir schwer, mich noch über Facebook oder Google aufzuregen.

Das OLG Hamburg hat mit Urteil vom 16.08.2011 (Az.: 7 U 51/10) über die Frage entschieden, ob Google als Suchmaschinenbetreiber auf Unterlassung in Anspruch genommen werden kann, weil nach einer Google-Suche in der Trefferliste auf Webseiten verwiesen wird, die wiederum bestimmte Äußerungen über die Person des Klägers enthalten.

Obwohl das OLG Hamburg die Klage abgewiesen hat, wird das Urteil noch für Diskussionen sorgen, denn das OLG Hamburg hält eine Störerhaftung von Google nicht per se für ausgeschlossen.

In der Urteilsbegründung wird u.a. ausgeführt:

Dem Betreiber einer Suchmaschine zumutbar dürfte eine Prüfpflicht hinsichtlich der von der Suchmaschine aufgefundenen Internetseiten nur dann sein, wenn sie sich auf eine konkrete, formal erfassbare Verletzungsform bezieht; denn eine Suchmaschine sucht im Internet nach Eingabe des Suchbegriffs nicht nach gedanklichen Inhalten, sondern, ihrer Anlage als Maschine entsprechend, rein mechanisch nach Buchstaben- und Zeichenfolgen oder geometrischen Formen. Nur abstrakt beschriebene Inhalte kann sie in einem Internetauftritt nicht als Inhalte erkennen, wenn dessen Verfasser sie nicht offenbar, sondern verklausuliert oder in sonstiger Weise verborgen ausdrückt.

Das OLG hat die vom Bundesgerichtshof entwickelten Grundsätze über die Störerhaftung bei der bloßen Mitwirkung an der Verbreitung von Äußerungen Dritter – u.a. aus der Schöner-Wetten-Entscheidung -  auf den Betrieb einer Suchmaschine übertragen und meint deshalb, dass in Bezug auf einen konkret bezeichneten Inhalt Unterlassungsansprüche gegeben sein können.

Ob man hierbei allerdings tatsächlich redaktionelle Links und Suchmaschinentreffer ohne weiteres vergleichen kann, erscheint mir eher zweifelhaft. Wegen der überragenden Bedeutung der Suchmaschinen für die Suche im Web und dem Umstand, dass sowohl die Indexierung als auch die Suche vollständig automatisiert ablaufen, erscheint es vielmehr naheliegend von einem grundsätzlichen Ausschluss der Haftung eines Suchmaschinenanbieters auszugehen.

Der Hamburgische Datenschutzbeauftragte hat heute eine, zumindest für mich, überraschende Pressemitteilung herausggegeben, in der er erklärt, dass Webseitenbetreibern ab sofort ein beanstandungsfreier Einsatz von Google Analytics möglich sei. Parallel hat auch Google Deutschland eine Mitteilung seines betrieblichen Datenschutzbeauftragten dazu veröffentlicht.

Das ist zwar für Nutzer von Google Analytics im Ergebnis erfreulich, zeigt allerdings bei näherer inhaltlicher Betrachtung, dass Deutschland nunmehr endgültig zum datenschutzrechtlichen Schilda geworden ist.

Der Hamburger Datenschutzbeauftragte teilt u.a. mit, dass  Google das Verfahren nunmehr dahingehend geändert habe, dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Gleichzeitig verlangt er aber, dass der Webseitenbetreiber mit Google einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen soll.

Diese Ausführungen sind datenschutzrechtlich widersprüchlich und auch widersinnig. Wenn tatsächlich eine Anonymisierung der IP-Adressen der Nutzer vor einer Übermittlung an Google stattfindet, dann bedeutet dies nichts anderes, als dass an Google keine personenbezogenen Daten mehr übermittelt werden.

Damit entfällt aber nach dem Gesetz die Pflicht des § 13 TMG, über die Datenerhebung und -verwendung zu informieren und insoweit dann auch die Notwendigkeit einer Datenschutzerklärung. Eine Vereinbarung über eine Auftragsdatenverarbeitung kann dann ebenfalls nicht mehr geboten sein, weil diese ja gerade eine (externe) Verarbeitung personenbezogener Daten voraussetzt.

Die Forderung nach einer schriftlichen Vereinbarung zwischen dem Webseitenbetreiber und Google i.S.v. § 11 BDSG ist aber auch deshalb fragwürdig, weil die inhaltlichen Anforderungen des § 11 BDSG in dieser Konstellation schwerlich erfüllbar sind. Erforderlich wäre es nämlich, dass Google an die Weisungen des Webseitenbetreibers gebunden ist (§ 11 Abs. 3 BDSG) und, dass Google dem Webseitenbetreiber umfangreiche Prüf- und Kontrollmöglichkeiten einräumt.

Google hält insoweit auch schon eine standardisierte Vereinbarung bereit, die Google sogar unterschreiben und zurückschicken will. Diese Vereinbarung genügt m.E. aber den inhaltlichen Anforderungen des § 11 BDSG, insbesondere, was die Kontrollrechte angeht, nicht. Denn die Kontrollmöglichkeit wird von Google darauf beschränkt, dass der Webseitenbetreiber als Auftraggeber einen Prüfbericht eines Wirtschaftsprüfers einsehen kann.

Auch die Konstruktion erscheint unklar. Offenbar soll diese Vereinbarung nach der Ansicht Googles mit Google Deutschland getroffen werden, während die Datenverarbeitung aber in den USA stattfindet. Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der Vorschrift des § 11 BDSG.

Machen wir es also nicht komplizierter als es ist. Wenn mittels Google Analytics, bei Einsatz des sog. IP-Masking, keine personenbezogenen Daten mehr übermittelt werden – und genau das besagt die Pressemitteilung des Hamburger Datenschutzbeauftragten – dann sind insoweit auch keinerlei datenschutzrechtliche Anforderungen mehr zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG).

Die bayerische Aufsichtsbehörde hat mir übrigens bereits zu Beginn des Jahres, im Rahmen einer Mandatsbearbeitung, mitgteteilt, dass gegen den Einsatz von Google Analytics keine Einwände bestünden, wenn das von Google bereitgestellte Zusatztool zum sog. IP-Masking verwendet und zusätzlich eine ausreichende Datenschutzerklärung vorgehalten wird.

Ergänzend noch ein paar Links zum Thema:

Datenschutztheater (von Kris Köhntopp)

Google Analytics ist amtlich datenschutzkonform (Heise)

Die Diskussion zu meinem Post auf Google+

GOOGLE ANALYTICS IST DATENSCHUTZKONFORM NUTZBAR!? (von Laurent Meister)

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.