Internet-Law

Google (YouTube) hat in den vergangenen Tagen offenbar mehrere Dienste abgemahnt, die die Dateien, die YouTube nur als Stream bereitstellt in MP3-Dateien konvertiert und damit die dauerhafte Speicherung von Musikstücken ermöglicht.

Vor ein paar Monaten hatte ich am Beispiel von Spotify erläutert, dass das Mitschneiden von Musik bei Streaming-Portalen aus Sicht des Nutzers durchaus urheberrechtlich problematisch sein kann.

Aus Sicht eines Anbieters einer Software oder eines Webservices stellt sich m.E. nach deutschem Recht aber zusätzlich die Frage, ob es sich hierbei um Tools handelt, die (wirksame) technische Maßnahmen im Sinne von § 95a UrhG umgehen. Das würde nämlich dann bedeuten, dass derartige Tools und Services nach § 95a Abs. 3 UrhG verboten sind und deren Herstellung, Verbreitung etc. zu gewerblichen Zwecken nach § 108b Abs. 2 UrhG  sogar strafbar wäre.

Die Annahme, dass die Beschränkung des Angebots auf das Streaming gleichzeitig eine technische Maßnahme darstellt, die im normalen Betrieb dazu bestimmt ist,  das Kopieren zu verhindern oder zu erschweren, dürfte keineswegs abwegig sein. Gerichtliche Entscheidungen zu dieser Frage sind mir bislang nicht bekannt, aber vielleicht beabsichtigt Google ja jetzt, eine solche Entscheidung herbeizuführen. Man darf auf die weitere Entwicklung gespannt sein.

Der Nutzer, der sich eines solchen Tools bedient, macht sich jedenfalls nicht strafbar, solange er den Konvertierungsdienst zum eigenen privaten Gebrauch nutzt. Eine (zivilrechtliche) Urheberrechtsverletzung könnte nach derzeitiger Rechtslage aber dennoch vorliegen.

In den USA wird gerade über angeblich bezahlte Suchergebnisse bei Google, Microsoft, Yahoo und anderen diskutiert, die nicht als Werbung gekennzeichnet sind. Der Journalist Danny Sullivan hat sich in einem offenen Brief an die US Federal Trade Commission (FTC) gewandt und ein Einschreiten gefordert.

Nach deutschem Recht sind bezahlte Suchergebnisse, ebenso wie bezahlte Links in redaktionellen Beiträgen, die nicht eindeutig als Werbung gekennzeichnet werden und zudem nicht deutlich vom sonstigen Inhalt getrennt sind, ebenfalls unzulässig und rechtswidrig.

Eine derartige Praxis verstößt einerseits gegen das für Telemedien geltende Trennungsgebot und stellt andererseits eine sog. verdeckte Werbung (Schleichwerbung) dar, die gegen § 6 Abs. 1 TMG verstößt und nach §§ 3, 4 Nr. 3 UWG wettbewerbswidrig ist.

Google erhält derzeit ca. 300.000 Löschanfragen pro Woche allein wegen der Behauptung von Urheberrechtsverstößen. Löschungsaufforderungen wegen Urheberrechtsverletzungen stellen damit laut Google den Hauptgrund für die Bereinigung der Suchergebnisse dar.

Die meisten dieser Anfragen stammten in den letzten Monaten von Microsoft und der BPI (British Recorded Music Industry). In den meisten Fällen entfernt Google die beanstandete Website dann auch aus dem Suchindex.

Google teilt in einem aktuellen Blogbeitrag mit, dass man über diesen Aspekt nunmehr regelmäßig berichten wird, um mit diesen Daten zur öffentlichen Diskussion über Urheberrechtsverletzungen im Internet beizutragen.

In den USA laufen derzeit kartellrechtliche Ermittlung wegen des Vorwurfs, Google würde die Suchergebnisse manipulieren bzw. gezielt eigene Produkte bzw. Inhalte die von Google-Plattformen stammen, bevorzugen.

Google hat diesbezüglich ein Rechtsgutachten in Auftrag gegeben, das zu einem interessanten Ergebnis gelangt. Diese gezielte Einflussnahme auf Suchergebnisse sei von der Meinungsfreiheit gedeckt, argumentiert der mit dem Gutachten beauftragte Rechtswissenschaftler Eugene Volokh, denn ebenso wie Zeitungen oder Lexika müsse Google das Recht zugestanden werden, eine redaktionelle, thematische Auswahl und Gewichtung vorzunehmen.

Abgesehen davon, dass man mit diesem Ansatz jedwede Wettbewerbsverzerrung rechtfertigen könnte, womit das Kartell- und Wettbewerbsrecht letztlich hinfällig wäre, ist dieser Ansatz für Google zumindest aus europäischer Sicht noch aus einem Grund brandgefährlich.

Denn wenn Google eine redaktionelle Arbeitsweise für sich reklamiert – was mir in der Tat neu ist – dann müsste dies natürlich auch eine Verschärfung der Haftung von Google mit sich bringen. Denn nur bei einem neutralen und rein technischen Informationsvermittler lässt sich eine weitgehende Haftungsfreistellung für die in den Suchergebnissen angezeigten Inhalte begründen. Wer solche Inhalte allerdings gezielt und nach journalistisch-redaktionellen Kriterien auswählt, der muss dann auch eine Haftung für die dermaßen geprüften Inhalte in Kauf nehmen.

Möglicherweise hat man die Argumentation Googles beim Landgericht Hamburg ja mit Interesse gelesen. Google kratzt damit m.E. aber auch an dem bisherigen (Selbst-)Verständnis von Suchmaschinen.

(via presseschauder)

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70’er und 80’er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.

Nach einer neuen Entscheidung des Landgerichts Berlin (Urteil vom 5. April 2012, Az.: 27 O 455/11) haftet Google für (anonyme) Erfahrungsberichte auf Google Maps entsprechend der vom BGH entwickelten Grundsätze einer beschränkten Störerhaftung von Host-Providern.

Das ist im Ansatz sicherlich zutreffend. Ob das Landgericht Berlin die richtigen Schlussfolgerungen aus der Entscheidung des BGH gezogen hat, ist dennoch fraglich. Das Landgericht stützt die Störerhaftung von Google offenbar primär auf den Umstand, dass Google nicht versucht hat, eine Stellungnahme des Verfassers einzuholen. Ob dieser Umstand allein allerdings eine Störerhaftung begründet, weil bereits dadurch eine (zumutbare) Prüfpflicht verletzt worden ist, hat der BGH in dieser Form nicht entschieden. Im Fall des Landgerichts Berlin liegt außerdem ein – von der Meinungsfreiheit gedecktes – Werturteil durchaus näher als in dem vom BGH entschiedenen Fall. Hier scheint mir etwas vorschnell eine Tatsachenbehauptung angenommen worden zu sein.

Andererseits kann auf Google Maps nur derjenige einen Erfahrungsbericht verfassen, der als Nutzer angemeldet ist. Google verfügt also zumindest über Kontaktdaten des Verfassers und hätte durchaus die Möglichkeit, den Autor um eine Stellungnahme zu bitten.

Wie ist allerdings die Situation zu beurteilen, wenn man als Forenbetreiber oder Blogger tatsächlich, entsprechend der gesetzlichen Vorgabe des § 13 Abs. 6 TMG, eine anonyme Nutzung gewährleistet? In diesem Fall kann man als Betreiber mit dem Verfasser eines Kommentars keinen Kontakt aufnehmen, weil man noch nicht einmal eine E-Mail-Adresse erfasst hat. Soll dies also dann dazu führen, dass man damit automatisch als Störer haftet, weil man zumutbare Prüfpflichten verletzt hat, obwohl einen das Gesetz andererseits dazu anhält, eine anonyme Nutzung zu ermöglichen? Bereits diese Überlegung zeigt, dass nur wegen einer fehlenden Rückfrage beim Verfasser schwerlich eine Störerhaftung bejaht werden kann.

Man darf auf die zu erwartende Berufung gespannt sein.

Das Landgericht Hamburg hat YouTube bzw. Google heute auf Antrag der GEMA dazu verurteilt, es zu unterlassen, sieben Musiktitel öffentlich zugänglich zu machen. Nachdem mittlerweile die offizielle Pressemitteilung des Landgerichts vorliegt, erscheint mir eine erste Einschätzung möglich.

Das Landgericht betrachtet YouTube als sog. mittelbaren Störer – nicht als Täter – der Urheberrechtsverletzung. YouTube ist nach dem Urteil dazu verpflichtet, entsprechende Videos nach einem Hinweis auf eine Urheberrechtsverletzung unverzüglich zu sperren und in zumutbarem Rahmen anschließend Maßnahmen zu ergreifen, um erneute Rechtsverletzungen zu verhindern. Eine Verpflichtung zur Kontrolle sämtlicher bereits hochgeladener Videoclips besteht nach der Entscheidung des Gerichts aber nicht.

Dennoch sei es YouTube zuzumuten, nach Erhalt eines Hinweises auf eine Urheberrechtsverletzung durch den Einsatz einer Software künftige Uploads zu unterbinden, die eine mit dem gemeldeten Musikstück übereinstimmende Aufnahme enthalten. Nach Ansicht des Landgerichts verfügt YouTube bereits über eine entsprechende Software, nämlich ihr eigenes Content-ID-Programm. Dieses Tool muss YouTube nach der Entscheidung des Gerichts allerdings selbst einsetzen und kann die GEMA bzw. die Rechteinhaber nicht darauf verweisen.

Der Logik des Gerichts folgend bedeutet dies folgendes: Wenn die GEMA oder ein Rechteinhaber YouTube auf einen Verstoß aufmerksam macht, dann müsste YouTube im Rahmen des Einsatzes des Programms Content-ID von sich aus den betreffenden Musiktitel in einen geschützten Bereich uploaden, damit anschließend der für die Unterbindung künftiger Uploads notwendige Abgleich durchgeführt werden kann.

Darüber hinaus ist das Landgericht der Meinung, dass YouTube verpflichtet sei, einen Wortfilter zu installieren. Der Wortfilter soll neu eingestellte Videos herausfiltern, die den Titel als auch den Interpreten der beanstandeten Musikaufnahme enthalten.

Das Landgericht Hamburg versucht sich mit dieser Entscheidung auf der Linie der Internet-Versteigerungs-Entscheidungen des BGH zu bewegen. Ob man YouTube allerdings tatsächlich mit eBay vergleichen und gleichgelagerte Prüfpflichten fordern kann, halte ich zumindest für diskussionswürdig. Es stellt sich außerdem die Frage, ob diese Betrachtung noch mit der neuesten Rechtsprechung des EuGH zur Frage von Filterpflichten sozialer Netzwerke in Einklang zu bringen ist.

Sofern es nicht zu einer wirtschaftlichen Lösung kommt, dürfte damit zu rechnen sein, dass Google/YouTube Berufung gegen das Urteil einlegen wird.

Update vom 25.04.2012:
Das Urteil liegt mittlerweile im Volltext vor. Bezüglich der vom Gericht angenommenen Verpflichtung wird das ausgeführt, was ich bereits aufgrund der Pressemitteilung vermutet hatte. Das Landgericht führt aus:

Es ist der Beklagten insoweit zuzumuten, das jeweils als Rechtsverletzung gemeldete konkrete Video selbst als Referenzdatei in das Content-ID Programm einzustellen und sämtliche künftig hochgeladenen Videos mit übereinstimmenden Musikaufnahmen mittels dieser Software für das Gebiet der Bundesrepublik Deutschland zu sperren. Im Zusammenhang damit ist ein System zu installieren, das im Falle des Widerspruchs eines Nutzers, dessen Video von der Sperrung betroffen ist, eine unmittelbare Klärung zwischen dem Rechteinhaber und dem Nutzer zulässt.

YouTube wird letztlich hier auch zum Verhängnis, dass es mit dem Content-ID-Programm bereits ein eigenes Verfahren zur Unterbindung solcher Rechtsverletzungen in Betrieb hat und sich deshalb schlecht darauf berufen kann, dies sei technisch nicht möglich. Es verbleibt allerdings die interessante Frage, ob man es im Rahmen der Prüfpflichten der Störerhaftung für rechtlich zumutbar hält, dass YouTube das beanstandete Musikvideo selbst als Referenzdatei in das Content-ID-System hochlädt, um anschließend ein Matching durchzuführen, das den weiteren Upload derselben Datei verhindert.

Der Bundesgerichtshof hat bereits vor einiger Zeit entschieden, dass die Vorschaubilder (Thumbnails) bei der Google-Bildersuche die Rechte des Fotografen bzw. des Urhebers des abgebildeten Werks nicht verletzen. Der BGH geht davon aus, dass ein Urheber, der eine Abbildung eines urheberrechtlich geschützten Werkes ins Netz stellt, ohne technisch mögliche Vorkehrungen gegen ein Auffinden und Anzeigen dieser Abbildung durch Suchmaschinen zu treffen, damit durch schlüssiges Verhalten seine Einwilligung in eine Wiedergabe der Abbildung als Vorschaubild durch eine Suchmaschine erklärt.

An diese Entscheidung knüpft jetzt ein neues Urteil des BGH (Az.: I ZR 140/10)  an, in dem diese Rechtsprechung nochmals bestätigt und zudem erweitert wird.

In dieser neuen Entscheidung besteht der Sonderfall darin, dass das besagte Foto an der konkreten Quelle ohne Zustimmung des Fotografen und damit urheberrechtswidrig online war. In dieser Konstellation kann man eigentlich auch zugunsten von Google nicht mit einer schlüssigen Einwilligung des Fotografen argumentieren.  Der BGH bedient sich deshalb eines durchaus überraschenden Kunstgriffs und erklärt, dass es ausreichend ist, wenn der Fotograf/Urheber überhaupt irgendjemand das Recht eingeräumt hat, das Werk über das Internet öffentlich zugänglich zu machen. Denn damit sei auch allgemein in eine Indizierung und Darstellung durch eine Suchmaschine als Vorschaubild eingewilligt worden. Dass die Suchmaschine das Bild dann von einer Website indiziert, deren Betreiber keine urheberrechtlichen Nutzungsrechte hatte, hält der BGH für unerheblich.

Hierzu führt der BGH wörtlich aus:

Die mit Zustimmung des Klägers erklärte Einwilligung in die Anzeige von Abbildungen der Fotografie als Vorschaubild ist nicht auf die Anzeige von Abbildungen der Fotografie beschränkt, die mit Zustimmung des Klägers ins Internet eingestellt worden sind. Für die Auslegung der Einwilligung kommt es auf den objektiven Erklärungsinhalt aus der Sicht des Erklärungsempfängers an (vgl. BGHZ 185, 291 Rn. 36 – Vorschaubilder I). Es ist allgemein bekannt, dass Suchmaschinen, die das Internet in einem automatisierten Verfahren unter Einsatz von Computerprogrammen nach Bildern durchsuchen, nicht danach unterscheiden können, ob ein aufgefundenes Bild von einem Berechtigten oder einem Nichtberechtigten ins Internet eingestellt worden ist. Deshalb kann der Betreiber einer Suchmaschine die Einwilligung in die Wiedergabe von Abbildungen eines Werkes oder Lichtbildes als Vorschaubild nach ihrem objektiven Erklärungsinhalt nur dahin verstehen, dass sie sich auch auf die Wiedergabe von Abbildungen des Werkes oder der Fotografie erstreckt, die nicht vom Berechtigten oder mit seiner Zustimmung von einem Dritten ins Internet eingestellt worden sind. Hat der Berechtigte oder mit seiner Zustimmung ein Dritter die Einwilligung zum Aufsuchen und Anzeigen von Abbildungen eines vom Berechtigten geschaffenen Werkes oder Lichtbildes durch Bildersuchmaschinen erteilt, verhält der Berechtigte sich daher widersprüchlich, wenn er von dem Betreiber einer Suchmaschine verlangt, nur Vorschaubilder solcher Abbildungen des Werkes oder Lichtbildes anzuzeigen, die vom Berechtigten oder mit seiner Zustimmung von Dritten ins Internet eingestellt worden sind. Ein solches Verhalten ist daher auch unter dem Gesichtspunkt einer protestatio facto contraria unbeachtlich (vgl. BGHZ 185, 291 Rn. 37 – Vorschaubilder I).

Der BGH setzt damit seine ausgesprochen suchmaschinenfreundliche Rechtsprechung fort. Vielleicht zum ersten Mal ist auch ein erotisches Farbfoto als unmittelbarer Bestandteil einer BGH-Entscheidung zu bestaunen.

Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.

Google  will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.

Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.

Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:

Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.

Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:

Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:

• Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
• Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
• IP-Adresse.
• Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
• Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:

Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.

Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.

Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:

Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.

Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.

Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.

Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).

Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.

Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.

Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.

Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.

Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.

Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70’er und 80’er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.

Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in diesem Punkt einem Trauerspiel.

Was fehlt, ist eine ehrliche und offene Analyse des Ist-Zustands. Impulse hierfür kommen derzeit aus der Rechtswissenschaft und Teilen der Internet-Community, aber nicht aus der Politik und noch weniger von den Datenschutzaufsichtsbehörden. Der Enwurf der EU-Kommission lässt ebenfalls nicht erkennen, dass eine solche Analyse statgefunden hätte. Wenn die geplante Verordnung in dieser oder ähnlicher Form in Kraft tritt, wird ein bereits gescheitertes Grundkonzept nochmals über Jahre hinweg festgeschrieben.

Die Schieflage der gesamten Diskussion zeigt sich aber noch an anderen Umständen. Die EU übermittelt Bankdaten und Fluggastdaten ihrer Bürger in äußerst großzügiger und unkontrollierter Art und Weise an die USA. Damit wird die Idee des europäischen Datenschutzes, wonach eine Übermittlung an Stellen außerhalb der EU erhöhten Anforderungen unterliegt, auf den Kopf gestellt. Auch andere Fälle belegen, dass der Staat selbst vielfach wenig von Datenschutz hält. Dieses Messen mit zweierlei Maß führt insgesamt zu einer Legitimationskrise des Datenschutzrechts.

Während man einerseits gerne kleinteilig über datenschutzrechtliche Nebenaspekte wie Google Street View diskutiert, werden andererseits sensible Daten von Bürgern bereitwillig an ausländische Staaten übermittelt. In dieser Situation fällt es mir schwer, mich noch über Facebook oder Google aufzuregen.