Schlagwort-Archive: Datenschutz

Verwendung von „anonymen Daten“ durch TK-Anbieter für Werbezwecke

In den letzten Tagen ist mehrfach über die Pläne des US-amerikanischen TK- und Mobilfunkanbieters Verizon berichtet worden, seine Kunden demnächst nicht nur bei der Nutzung des Mobilfunkzugangs, sondern auch bei der Nutzung von WLANs und Desktop-Rechnern zu überwachen und diese Daten für Werbung zu nutzen – und mit Werbeanbietern zu teilen. Das ist schon für sich beängstigend – wenn auch fast schon normal. Interessant ist aber auch, sich die Idee und deren Hintergründe näher anzusehen.

Verizon berichtet selbst über diese Pläne:

We’re enhancing our Relevant Mobile Advertising program in a way that can help marketers reach you with messages that may be more interesting to you.

In addition to the customer information that’s currently part of the program, we will soon use an anonymous, unique identifier we create when you register on our websites. This identifier may allow an advertiser to use information they have about your visits to websites from your desktop computer to deliver marketing messages to mobile devices on our network.

The Verge konkretisiert die Datenerhebung und deren Folgen:

The program works by seeding tracking cookies whenever a customer logs into the MyVerizon site, a typical tactic to follow a given user from page to page. In Verizon’s case, that data is also combined with detailed data on each user’s physical movements, taken every time the phone pings back to a cell tower for a signal. The result is a much fuller portrait than tracking cookies alone could provide. The end result is a tailored ad, delivered direct to your phone, representing a lucrative new profit stream for carriers at large.

Schon die Ankündigung verrät mehr als genug über das Angebot: Verizon vergibt ein „eindeutiges Identikationszeichen“ (unique identifier) an jeden Nutzer. Das bedeutet natürlich, dass Verizon alle Aktivitäten des Kunden diesem auch zuordnen kann: Das ist das Gegenteil von „anonym“ – oder mit anderen Worten: Glatt gelogen!

Der „unique identifier“ wird voraussichtlich auch für die Werbeanbieter nicht anonym sein oder bleiben. Denn die Werbeanbieter sollen die Kunden ja kontaktieren können. Oder sie erfahren über einen längeren Zeitraum so viel über den Kunden, dass sie Verizon nicht mehr brauchen, um den Schleier zu lüften. Wie man es dreht und wendet, der Kunde ist nicht anonym (unabhängig von der Frage eines relativen oder absoluten Personenbezuges, dazu hier, hier und hier).

Interessant wird es, wenn deutsche Anbieter so etwas versuchen. Die Daten, die TK-Anbieter über ihre Kunden erheben, wecken ohnehin vielfältige Begehrlichkeiten. Der TK-Anbieter sitzt sozusagen an der Quelle der vollständigen Online- (und bei Mobilfunk durch den Standort auch Offline-)Aktivitäten seiner Nutzer. Wertvolle Datenbestände können so aufgehäuft und gewinnbringend genutzt werden. So nutzt Telefónica/O2 bereits Standortdaten in Großbritannien. Pläne, diese auch in Deutschland zu Werbezwecken zu nutzen (s. auch hier), sind nach großem Aufschrei zurückgezogen worden.

Jedenfalls in Deutschland sollten TK-Anbieter von solchen Plänen von vornherein Abstand nehmen. Denn Telekommunikationsdaten (also alle Umstände der Telekommunikation) unterliegen einem strengen, durch das Fernmeldegeheimnis in Art. 10 GG und § 88 TKG abgesicherten, Schutzniveau, das seine Grundlage in §§ 91 ff. TKG findet. Ohne konkrete (informierte und freiwillige) Einwilligung des Kunden geht da wenig in Richtung einer Nutzung von Daten für Werbung. Auch die für TK-Anbieter relativ weitreichenden Ausnahmeregelungen z.B. für die Erkennung und Beseitigung von Störungen etc. nach §§ 100 ff. TKG unterliegen allesamt einer strengen Zweckbindung.

Dabei findet der TK-Datenschutz allerdings – genauso wie der „normale“ Datenschutz nach dem BDSG – keine Anwendung auf anonyme Daten. Das ist – neben der Augenwischerei, um die Kunden zu beschwichtigen – auch der Grund, warum TK-Anbieter immer wieder von „anonymen Daten“ oder „anonymisierten Daten“ reden. Wer sich aber dann mit dem jeweiligen Modell näher beschäftigt, wird in 99,99% der Fälle nur zu dem Ergebnis kommen können, dass es sich lediglich um eine Pseudonymisierung handelt.

Der „Vorteil“ für die Kunden ist übrigens, dass er endlich auf ihn zugeschnittene Werbung bekommt. Dazu Robert L. Mitchell von Computerworld:

What’s in it for you? Ads. You receive ads that are potentially more relevant to your interests instead of the normal ones you’d see.

What’s in it for Verizon Wireless? Money. It receives a premium for helping to deliver ads to a more targeted segment of its subscriber base who presumably are more likely to buy.

Money talks. If I’m going to allow the sharing of my personal information by Verizon Wireless — and I consider my browsing history to be very personal — I’d like something more than just seeing targeted ads in return. How about an offer to waive airtime or data overcharges for one month of my choice every six months? Or how about 700 free airtime minutes? Or an extra 2GB per month on my data plan?

Großzügigerweise sieht Verizon übrigens die Möglichkeit zum Opt-Out aus der Überwachung und Weitergabe von Daten vor, entweder über die Homepage oder per Telefon:

Yes, you can notify us that you do not want us to use your information for Relevant Mobile Advertising by visiting www.vzw.com/myprivacy or by calling (866) 211-0874.

Note: if you have a multi-line account, you must indicate your privacy choices with respect to each individual line.

In addition, if you would like to prevent third party advertising entities from using information they have about your web browsing across sites unrelated to Verizon, including the use of this information in the Relevant Mobile Advertising program, you can opt-out at www.aboutads.info.

@LossOfPrivacy gibt diesbezüglich den richtigen Tipp:

The best way to opt-out remains with your wallet.

Daher gilt:

  • Für TK-Anbieter: Hände weg von solchen Modellen.
  • Für Kunden: Hände weg von TK-Anbietern, die solche Modelle verfolgen.

Bild: Mike MozartCC BY 2.0

EuGH erklärt Vorratsdatenspeicherungsrichtlinie für ungültig – kurze Analyse

Mit Urteil vom 8.4.2014 hat der Europäische Gerichtshof (EuGH) die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung (VSRL) für ungültig erklärt (Volltext hier).

Der Tenor (der im Urteil am Ende steht) hier gleich vorab:

Die Richtlinie 2006/24/EG … u?ber die Vorratsspeicherung von Daten … ist ungu?ltig.

Auf die Vorlagefragen des österreichischen Verfassungsgerichtshofs und des irischen High Court möchte ich hier nicht näher eingehen. Sie lassen sich – zumindest nach dem eindeutigen Ergebnis des EuGH – zusammenfassen als: Ist die Richtlinie 2006/24/EG mit den in der EU-Grundrechte-Charta (GRC) niedergelegten Grundrechten vereinbar?

1. Einführung und Auswirkungen

Der EuGH hat sich hier auf die Prüfung von Art. 7 und 8 GRC beschränkt. Diese lauten:

Art. 7 GRC:

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Art. 8 GRC:

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten du?rfen nur nach Treu und Glauben fu?r festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft u?ber die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. …

Zunächst stellt der EuGH fest, um was für Daten es sich bei den nach der VSRL handelt (Rn. 26):

… bei den Daten, die …  auf Vorrat zu speichern sind, [handelt es sich] u. a. um die zur Rückverfolgung und Identifizierung der Quelle und des Adressaten einer Nachricht sowie zur Bestimmung von Datum, Uhrzeit, Dauer und Art einer Nachrichtenübermittlung, … benötigten Daten handelt, zu denen Name und Anschrift des Teilnehmers oder registrierten Benutzers, die Rufnummer des anrufenden Anschlusses und des angerufenen Anschlusses sowie bei Internetdiensten eine IP-Adresse gehören. Aus diesen Daten geht insbesondere hervor, mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand. Ferner ist ihnen zu entnehmen, wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat.

Diesen Daten spricht der EuGH – in Übereinstimmung mit allen in den letzten Jahren gewonnenen Erkenntnissen – eine hohe Bedeutung zu, auch wenn es sich „nur“ um sog. Metadaten handelt (Rn. 27):

Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren.

Dabei sieht der EuGH auch Auswirkungen auf die Ausübung der Meinungsfreiheit (Rn. 28),  der Privatheit und des Datenschutzes (Rn. 29):

Unter solchen Umständen ist es … nicht ausgeschlossen, dass die Vorratsspeicherung der fraglichen Daten Auswirkungen auf die Nutzung der … Kommunikationsmittel durch die Teilnehmer oder registrierten Benutzer und infolgedessen auf deren Ausübung der durch Art. 11 der Charta gewährleisteten Freiheit der Meinungsäußerung hat.

Die in der Richtlinie 2006/24 vorgesehene Vorratsspeicherung der Daten … betrifft unmittelbar und speziell das Privatleben und … fällt zudem unter Art. 8 der Charta …

2. Eingriff

Anschließend stellt der EuGH fest, dass die Speicherung einen Eingriff in Art. 7 und Art. 8 GRC darstellt (Rn. 34-36). Dabei ist bemerkenswert, dass der EuGH hier ausdrücklich differenziert: Schon die Speicherung der Daten stellt einen Eingriff dar. Der Zugriff auf die Daten ist ein weiterer, separater Eingriff! Dieser Befund des EuGH kann nicht genug hervorgehoben werden. Immer wieder hört man nämlich Argumente ähnlich folgender Zusammenfassung:

Die Speicherung von Daten stellt kein Problem dar. Erst durch den Zugriff auf die gespeicherten entsteht ein Grundrechtseingriff. Daher ist es ausreichend, wenn wir den Zugriff auf die Daten erheblich beschränken und sichern.

Diesem Argumentsweg hat der EuGH (hoffentlich endgültig) den Boden entzogen und klargestellt, dass bereits die Speicherung von Daten einer grundrechtlichen Rechtfertigung bedarf (Rn. 34, 35):

Daraus folgt, dass die … Pflicht, … Daten über das Privatleben einer Person und ihre Kommunikationsvorgänge … auf Vorrat zu speichern, als solche einen Eingriff in die durch Art. 7 der Charta garantierten Rechte darstellt.

Zudem stellt der Zugang der zuständigen nationalen Behörden zu den Daten einen zusätzlichen Eingriff in dieses Grundrecht dar …

Diese Eingriffe sieht der EuGH als schwerwiegend an, außerdem könne bei den Betroffenen ein Gefühl der ständigen Überwachung entstehen, wobei die Folgen davon generell auch als „chilling effect“ bezeichnet werden (Rn. 37):

Der … Eingriff … ist … von großem Ausmaß und als besonders schwerwiegend anzusehen. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen … das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.

3. Rechtfertigung

Nächster Schritt ist die Prüfung der Rechtfertigung der Eingriffe. Zunächst stellt der EuGH fest, dass trotz des schwerwiegenden Eingriffs die betroffenen Grundrechte nicht in ihrem Wesensgehalt betroffen sind (Rn. 38-40).

Anschließend beschäftigt sich der EuGH damit, ob der Eingriff gerechtfertigt ist. Dafür prüft er in dem vom EuGH bekannten Drei-Schritt (Legitimer Zweck, Geeignetheit, Erforderlichkeit), wobei die aus der deutschen Prüfung („Angemessenheit“) bekannte Verhältnismäßigkeitsprüfung Teil der Erforderlichkeitsprüfung ist.

Als Ziel der Richtlinie sieht der EuGH die Bekämpfung schwerer Kriminalität und den Schutz der öffentlichen Sicherheit (Rn. 41). Dies ist interessant, weil nach den Erwägungsgründen der VSRL Zielsetzung die Harmonisierung war (zur Rechtsgrundlage der VSRL s. hier). Der EuGH sieht das Ziel als einen legitimen Zweck der Richtlinie an, wobei er auch auf das in Art. 6 GRC niedergelegte Recht auf Freiheit und Sicherheit verweist (Rn. 42-44).

Die Vorratsdatenspeicherung sieht der EuGH auch als geeignet zur Erreichung des Zwecks an (Rn. 46, 49 f.).

Zu der Frage, ob die Vorratsspeicherung … geeignet ist, ist festzustellen, dass … die … auf Vorrat zu speichernden Daten den für die Strafverfolgung zuständigen nationalen Behörden zusätzliche Möglichkeiten zur Aufklärung schwerer Straftaten bieten und insoweit daher ein nützliches Mittel für strafrechtliche Ermittlungen darstellen. Die Vorratsspeicherung solcher Daten kann somit als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden.

Dabei sollte man nicht vergessen, dass die Geeignetheitsprüfung im Zusammenhang mit Grundrechten keine allzu strengen Anforderungen stellt. Der Umstand, dass bisher in Studien nicht nachgewiesen werden konnte, dass die Vorratsdatenspeicherung einen spürbaren Effekt auf die Kriminalitätsbekämpfung hatte, spielt hier praktisch keine Rolle. Solange auch in Einzelfällen die Vorratsdatenspeicherung bei der Bekämpfung von Kriminalität hilfreich ist/war, dürfte Geeignetheit in diesem Sinne vorliegen. Die generelle Spürbarkeit, die in den Studien verneint wird, ist daher eher ein Element der Erforderlichkeits-/Verhältnismäßigkeitsprüfung.

Die Erforderlichkeit und Verhältnismäßigkeit sieht der EuGH allerdings insgesamt nicht als gegeben an, insbesondere da die VSRL – im Lichte eines erheblichen Eingriffs in die Grundrechte aller EU-Bürger – keinerlei effektive Einschränkungen enthält, wobei der EuGH insbesondere die Gefahr der automatischen Verarbeitung der Daten hervorhebt (Rn. 51 ff.):

Die Bekämpfung schwerer Kriminalität, insbesondere der organisierten Kriminalität und des Terrorismus …  kann … für sich genommen die Erforderlichkeit einer Speicherungsmaßnahme … für die Kriminalitätsbekämpfung nicht rechtfertigen.

Der Schutz des Grundrechts auf Achtung des Privatlebens verlangt …, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken müssen. … Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen.

Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten … automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu diesen Daten besteht.

… nach Art. 3 dieser Richtlinie in Verbindung mit ihrem Art. 5 Abs. 1 [werden] alle Verkehrsdaten betreffend Telefonfestnetz, Mobilfunk, Internetzugang, Internet-E-Mail und Internet- Telefonie auf Vorrat zu speichern sind. … Außerdem erfasst die Richtlinie … alle Teilnehmer und registrierten Benutzer. Sie führt daher zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung.

[Die Speicherung wird] generell auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen. …

… Zudem sieht [die Richtlinie] keinerlei Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen.

Zum anderen soll die Richtlinie zwar zur Bekämpfung schwerer Kriminalität beitragen, verlangt aber keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.

Überdies enthält die Richtlinie 2006/24 keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung.

… sieht die Richtlinie 2006/24 kein objektives Kriterium vor, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken. Vor allem unterliegt der Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung den Zugang zu den Daten und ihre Nutzung auf das zur Erreichung des verfolgten Ziels absolut Notwendige beschränken soll …

Anschließend kommt einer der Kernsätze des Urteils (Rn. 65):

Aus dem Vorstehenden folgt, dass die Richtlinie 2006/24 keine klaren und präzisen Regeln zur Tragweite des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte vorsieht. Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Außerdem seien keinerlei Vorkehrungen dafür getroffen, dass die von den TK-Unternehmen gespeicherten Daten auch wirklich sicher sind (Rn. 66 ff.) und nach Ablauf der Speicherfrist unwiderruflich vernichtet werden. Die Richtlinie hätte nach Ansicht des EuGH klare Vorgaben zur sicheren Speicherung der Daten enthalten müssen. Angesichts der in den letzten Jahren vielen bekannt gewordenen Datenlecks ist allerdings unklar, ob solche Sicherungsmaßnahmen dann einen solchen interessanten Honeypot wie die Sammlung von Verkehrsdaten von Millionen von Menschen überhaupt wirksam werden schützen können. Im Grunde müssten – neben anderen Sicherungsvorkehrungen – die Daten – ähnlich wie bei Passwörtern – so stark verschlüsselt werden, dass ein Angreifer selbst bei einem Zugriff auf den Datenpool damit nichts anfangen kann …

Da ein Verstoß gegen Art. 7 und 8 GRC feststand, hat sich der EuGH mit Art. 11 GRC gar nicht mehr befasst.

4. Fazit und Ausblick

Ich persönlich bin von der Klarheit des Urteils überrascht. Wer die Ausführungen des Generalanwalts (s. hier) studiert hat, wird vermutlich ähnlich wie ich die Möglichkeit einer Aufrechterhaltung der Richtlinien unter Vorlagen für möglich oder gar wahrscheinlich gehalten haben. Die VSRL ist nun erst einmal vom Tisch. Allerdings ist nicht zu vergessen, dass der EuGH festgestellt hat, dass die Regelung einer Vorratsdatenspeicherung den Wesensgehalt von Art. 7, 8 GRC nicht so wesentlich antastet, dass sie per se unzulässig ist! Mit den entsprechenden Vorkehrungen – die der EuGH für den Gesetzgeber dankenswerter Weise zumindest beispielhaft konkretisiert hat – könnte eine Vorratsdatenspeicherung also wieder eingeführt werden.

Andererseits ist es schwierig, sich eine Regelung vorzustellen, die den Anforderungen des EuGH genügt. Denn der EuGH hat nicht nur festgestellt, dass der Zugriff auf die Daten geregelt werden muss. Dann hätte der (europäische und nationale) Gesetzgeber viele schöne Einschränkungen vorgesehen, um Personengruppen (wie Geheimnisträger und Unschuldige) auszunehmen, hätte verfahrensrechtliche Anforderungen stellen können (Richtervorbehalt oder ähnliches), Sicherheit der Daten ins Gesetz aufgenommen und in Kürze hätten wir eine neue Richtlinie oder ein neues (nationales) Gesetz. Nein, nach dem Urteil des EuGH muss bereits die Speicherung selbst mit klaren Einschränkungen versehen sein, da sie bereits in hohem Maße und schwerwiegend in die Grundrechte der Bürger eingreift. Mit Spannung dürfen wir daher erwarten, ob die Kommission (alternativ die nationalen Gesetzgeber) sich Lösungswege ausdenkt, die

  • eine Speicherung der Daten nur von Personen vorsieht, die mit schweren Straftaten in Zusammenhang stehen (Rn. 56-58),
  • keine Speicherung von Daten von Berufsgeheimnisträgern vorsieht (Rn. 58),
  • Speicherung nur von Daten vorsieht, die im Zusammenhang mit der öffentlichen Sicherheit stehen, z.B. in einem bestimmten Zeitraum, einem bestimmten geografischen Gebiet oder einem bestimmten Personenkreis (Rn. 59).

Es fällt mir derzeit schwer, mir Normen vorzustellen, die diesen Anforderungen genügen. Denn für die oben dargestellten (eingeschränkten) Situationen, also „punktuelle Überwachungen“, existieren insbesondere in den nationalen Gesetzen schon Normen, in Deutschland z.B. in StPO und TKG. Inwiefern eine „punktuelle Vorratsdatenspeicherung“ darüber hinaus gehen soll/kann/darf, bleibt doch unklar.

Von daher ist das Urteil des EuGH ein klarer Erfolg für die Gegner der Vorratsdatenspeicherung.

Störerhaftung für Datenschutzverstöße Dritter? – oder: Was aus Twitter-Diskussionen werden kann…

Ich hatte erst vor einer Woche berichtet, dass mein Aufsatz mit dem Titel „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ in der Zeitschrift für Datenschutz (ZD) erschienen (ZD 2014, 62 ff.) ist. In dem kurzen Hinweis hatte ich auch mitgeteilt, dass Anlass für den Aufsatz eine Diskussion mit Dr. Carlo Piltz (@carlopiltz) per Twitter war.

Heute nun hat Dr. Piltz (via Twitter) geschrieben, dass sein Aufsatz mit dem Titel „Störerhaftung im Datenschutzrecht?“ frisch in der Zeitschrift Kommunikation & Recht (K&R) erschienen ist (K&R 2014, 80 ff.). Ganz offensichtlich haben wir beide – unabhängig voneinander, aber aus Anlass der selben Diskussion – das selbe Thema bearbeitet …

Im Kern geht es um die Frage, ob die Grundsätze der Störerhaftung, die die meisten meiner Leser aus dem Bereich der Haftung für den Betrieb eines WLANs kennen werden, auch auf Verstöße gegen das Datenschutzrecht Anwendung finden kann. Anlass unserer Twitter-Diskussion war eine Entscheidung des LG Potsdam, das einen Admin-C auf Basis der Störerhaftung für die durch den Inhaber der Webseite begangene Datenschutzverletzung verurteilt hatte (LG Potsdam MMR 2013, 662). Auf der anderen Seite hatte das VG Schleswig mit Urteilen vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein) im Streit des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein (ULD) mti den Betreibern von Facebook-Fanpages eine Anwendung der Störerhaftung abgelehnt und hierbei (was das LG Potsdam nicht angesprochen hatte) auf eine Sperrwirkung der Europäischen Datenschutzrichtlinie 95/46/EG verwiesen.

Zwei Juristen – ein Thema, was kommt wohl dabei raus? Ein interessantes Experiment, dessen Ergebnis sich im Vergleich der beiden Aufsätze sehen lässt.Ich muss vorweg schicken, dass wir uns – nach meiner Erinnerung – auch damals in der sehr kurzen Twitter-Diskussion nicht einig waren. Mich hat die Diskussion unbefriedigt zurück gelassen. Vielleicht war es bei Dr. Piltz ja genau so?

Ich will hier nicht die beiden Aufsätze darstellen, oder die verschiedenen von uns beiden aufgegriffenen Argumente abwiegen oder sagen, dass die eine Ansicht besser ist als die andere. Wer will, möge die beiden Aufsätze (die leider nicht online verfügbar sind) selber lesen und sich eine eigene Meinung bilden. Am spannendsten für mich persönlich war bei der Lektüre des Beitrages von Dr. Piltz auch vielmehr, wie unterschiedlich unsere beiden Aufsätze sind: Bei eigentlich identischem Thema haben wir zwei völlig unterschiedliche Ansätze gewählt, um uns dem Thema zu nähern. Der Aufsatz von Dr. Piltz stellt die Störerhaftung in einen viel größeren Rahmen, beschäftigt sich mit der Frage, ob Störerhaftung – auch aufgrund des Verhältnisses von BDSG und TMG – überhaupt übertragbar sein kann, und geht auf die Frage, die bei meinem Beitrag den (alleinigen) Kern bildet, erst zum Ende des Aufsatzes hin (da aber ausführlich) ein. Auch dabei will ich übrigens nicht sagen, dass der eine Ansatz besser als der andere ist!Letztlich kommen wir übrigens – wie auch schon in der Twitter-Diskussion – zu unterschiedlichen Ergebnissen (nicht zwei Juristen, drei Meinungen, sondern ausnahmsweise „nur“ zwei Meinungen). Während ich davon ausgehe, dass die europäische Datenschutzrichtlinie (und übrigens auch der Entwurf der Datenschutz-Grundverordnung) eine Anwendung der Störerhaftung gerade nicht sperrt, lehnt Dr. Piltz dies ab. Interessanterweise nutzen wir auch für unsere Argumentation völlig unterschiedliche Herangehensweisen und Ansatzpunkte.Während die Frage der Störerhaftung für Datenschutzverstöße bisher praktisch noch gar nicht diskutiert worden war (wir beide hatten Schwierigkeiten, in der Literatur und Rechtsprechung zu der Frage etwas zu finden), gibt es jetzt neben den divergierenden Entscheidungen des VG Schleswig und des LG Potsdam gleich zwei – ebenfalls völlig divergierende – Literaturmeinungen.

Das OVG Schleswig wird übrigens zumindest den Facebook-Fall irgendwann in der Zukunft entscheiden oder dem EuGH vorlegen. Ob die Frage der Störerhaftung für Datenschutzverstöße Dritter dann auch behandelt oder entschieden wird, steht aber noch in den Sternen. Bis dahin freue ich mich über Rückmeldungen zu beiden Auf- bzw. Ansätzen.

Aufsatz „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ (ZD 2014, 62) erschienen

In eigener Sache:

In Heft 2/2014 der Zeitschrift für Datenschutz (ZD) ist auf S. 62-65 mein Aufsatz mit dem Titel „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ erschienen.

Der Aufsatz, der ursprünglich den Titel „Die (zivilrechtliche) mittelbare Störerhaftung für Datenschutzverstöße Dritter – Verstoß gegen EG-Datenschutzrichtlinie und EU-Datenschutzgrundverordnung oder zulässige mitgliedsstaatliche Ausgestaltung“ tragen sollte (was aber zu lang war), befasst sich mit der Frage, ob z.B. der Betreiber einer Webseite als Störer für Datenschutzverstöße bspw. von Google haften kann.

Ausgangspunkt des Aufsatzes sind zwei Entscheidungen: Zum einen die Google Fanpages-Entscheidung des VG Schleswig vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein), zum anderen die Entscheidung des LG Potsdam zur Störerhaftung des Admin-C einer Domain für die Datenschutzverstöße des tatsächlichen Domaininhabers. Ich hatte damals per Twitter eine kurze Diskussion u.a. mit @carlopiltz zu der Entscheidung des LG Potsdam geführt. Das VG Schleswig-Holstein hatte nämlich eine Störerhaftung der Betreiber von Fanpages unter Hinweis auf die EG-Datenschutzrichtlinie abgelehnt. Die EG-Datenschutzrichtlinie sei insofern abschließend. Das LG Potsdam hat ohne nähere Konkretisierung die Gegenauffassung vertreten.

Diesen Konflikt wollte ich – angeregt durch die Diskussion auf Twitter – in dem Aufsatz aufarbeiten. Ich bin daher der Frage nachgegangen, ob die EG-Datenschutzrichtlinie wirklich Ansprüche aus Störerhaftung sperrt, und wie dies nach dem aktuellen Entwurf für eine Datenschutz-Grundverordnung zu beurteilen wäre. Mehr in ZD 2014, 62 ff. …

Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Aufsatz aus K&R 2013, 7 online

Ende Oktober 2012 war bekannt geworden, dass der Telekommunikationsanbieter Telefonica (dazu gehört u..a O2), die Standortdaten seiner Kunden als Produkt namens “Smart Steps” in Form von Bewegungsprofilen an gewerbliche Kunden verkaufen wollte. Ich hatte dazu eine kurze kritische Bewertung geschrieben.

Das Geschäftsmodell und seine (fehlende) Zulässigkeit hatte ich zusätzlich in einem Aufsatz der Zeitschrift Kommunikation & Recht (K&R) aufgearbeitet, der Anfang 2013 erschienen ist (K&R 2013, 7). In dem Aufsatz bin ich näher auf die (telekommunikations-)datenschutzrechtlichen Regelungen, insbesondere § 98 TKG zu Standortdaten, Fragen der Anonymisierung und Einwilligung sowie einer möglichen Strafbarkeit nach § 206 StGB eingegangen. Der Aufsatz aus der K&R ist nun auch online verfügbar (PDF – 0,57 MB).

Den Plan hat Telefonica aufgrund des heftigen Gegenwindes (Presseerklärung von Telefonica dazu) zumindest in Deutschland übrigens nicht umgesetzt. Angesichts der rechtlichen Lage eine sinnvolle Entscheidung …

Download des Artikels (PDF – 0,57 MB)

S. auch

Redtube-Abmahnungen und Datenschutzstrafrecht

Ulf Buermeyer (@vieuxrenard) hat auf heise-online eine sehr lesenswerte strafrechtliche Analyse der Redtube-Abmahnungen vorgenommen. Er kommt zu dem Ergebnis, dass eine Strafbarkeit der abmahnenden Anwälte der Kanzlei Urmann + Collegen wegen (versuchten und vermutlich in vielen Fällen auch vollendeten Betruges) vorliegen kann.

Aus strafrechtlicher Perspektive bedeutet das: Wenn man die urheberrechtliche Lage so einschätzt wie dargestellt, dann enthalten Abmahnungen wegen Streaming von legalen Portalen schon deswegen objektiv eine Täuschung. […]

Und je unzuverlässiger die Daten, umso eher wird sich ein Gericht davon überzeugen können, dass der Abmahnanwalt wenigstens ahnte, dass etwas nicht mit rechten Dingen zuging, er also wenigstens bedingt vorsätzlich handelte.

Er bezeichnet die beschriebenen Massenabmahnungen zusätzlich treffend als den „Enkeltrick des Internet-Zeitalters“. Er hofft, …

dass gegen Streaming-Abmahner engagiert ermittelt wird, denn hier geht es um ein Massenphänomen, das erheblichen gesellschaftlichen Schaden anrichtet. Bei unberechtigten Abmahnungen werden unter Missbrauch des Urheberrechts abwegige Vorwürfe erhoben; dadurch wird das Urheberrecht insgesamt weiter diskreditiert. Es ist kein Geheimnis, dass breite Kreise der Bevölkerung manche Aspekte des deutschen Urheberrechts ohnehin für fragwürdig halten. Windige Abmahnungen wegen Streamings sind daher blankes Gift für die gesellschaftliche Akzeptanz dieses Rechts.

Außerdem richten Streaming-Abmahnungen erheblichen wirtschaftlichen Schaden an – sie sind quasi der „Enkeltrick“ des Internet-Zeitalters: Die Hintermänner setzen gezielt auf die Unbedarftheit ihrer Opfer und versuchen, sie zu unbegründeten Zahlungen bringen, zumal wenn es um peinliche Vorwürfe geht. Diese Masche sollte entsprechend energisch verfolgt werden.

Die Analyse von Ulf Buermeyer bietet einen Anlass, auch über den Tellerrand des Strafgesetzbuches hinauszublicken und einen Blick ins Nebenstrafrecht zu werfen, namentlich ins Datenschutzstrafrecht.

1. Der Sachverhalt

Um eine strafrechtliche Analyse vornehmen zu können, ist zunächst festzuhalten, auf welcher Grundlage dieser erfolgt. Dies gestaltet sich allerdings sehr schwierig, da in Bezug auf die Redtube-Abmahnungen noch sehr vieles im Dunkeln liegt. Der nachfolgende Sachverhalt beruht auf den bisher bekannten Tatsachen, erhebt aber keinen Anspruch auf Richtigkeit und Vollständigkeit. Er dient lediglich der Vorbereitung der nachfolgenden juristischen Analyse.

a. Die Beteiligten
Vorliegend gab es – soweit ersichtlich – vier Beteiligte:
  • den angeblichen Rechteinhaber, The Archive AG,
  • das Unternehmen, das die IP-Adressen ermittelt haben will, itGuard Inc.,
  • den Rechtsanwalt, der beim LG Köln nach § 101 UrhG Auskunft über die hinter den IP-Adressen stehenden Anschlussinhaber beantragt (und in großem Umfang erhalten) hat (RA Sebastian), und
  • die Anwaltskanzlei, die die Abmahnungen versandt hat (nachfolgend „U+C“).

Bisher ist nicht erkennbar, dass Redtube irgendwie involviert war. Im Gegenteil hat Redtube erklärt, dass sie keine IP-Adressen weitergegeben hätten. Mittlerweile hat Redtube auch gegen

b. Die „Tathandlungen“

Zu unterscheiden sind verschiedene mögliche „Tathandlungen“:

  • die Ermittlung der IP-Adressen – wie auch immer dies erfolgt sein soll,
  • die Übermittlung der IP-Adressen an RA Sebastian,
  • die Übermittlung der IP-Adressen an das LG Köln zusammen mit einem Antrag nach § 101 UrhG,
  • die Übermittlung der IP-Adressen mitsamt der beauskunfteten Informationen des LG Köln an U+C und
  • die Aussprache der Abmahnung durch U+C,

sowie verschiedene Formen der Beteiligung, z.B. eine mittelbare Täterschaft, Anstiftung oder Beihilfe zu den einzelnen „Tathandlungen“.

c. „Tathergang“

Nach dem bisherigen Stand soll ein Unternehmen mit Hilfe der Software „GladII“ die IP-Adressen ermittelt haben. Dabei bleibt weiter völlig unklar, wie dies passiert sein soll. Es gibt Theorien, dass die IP-Adressen ermittelt wurden durch

Zu dem gesamten Vorgang hat sich mittlerweile RA Urmann in einem Interview geäußert. Auch RA Sebastian hat eine Pressemitteilung herausgegeben.

2. Mögliche Straftatbestände und (kurze) Analyse

Ulf Buermeyer ist schon auf den Straftatbestand des Betruges nach § 263 StGB eingegangen. Aus dem Datenschutzstrafrecht kommen verschiedene Tatbestände nach §§ 43, 44 BDSG in Betracht. Denken könnte man zudem auch an Straftaten aus dem Telekommunikationsbereich, namentlich §§ 89 Abs. 1, 148 TKG, denken.

Aus dem StGB kommt auch eine Strafbarkeit wegen des Ausspähens von Daten nach § 202a StGB, des Abfangens von Daten nach § 202b StGB, beim Einsatz von Trojanern auch Datenveränderung und Computersabotage nach §§ 303a, 303b StGB in Betracht. Diese sind aber nicht Gegenstand dieses Beitrages.

Nun zum Datenschutzstrafrecht:

a. Personenbezogene Daten

Als erste Frage ist zu klären, ob es sich bei den IP-Adressen in den verschiedenen Stadien um personenbezogene Daten nach § 3 BDSG handelt. Man könnte daran zweifeln, weil z.B. das LG Berlin dynamische IP-Adressen i.d.R. nicht als personenbezogen ansieht – außer beim Access Provider. Die Datenschutzaufsichtsbehörden sehen das allerdings anders. Ermittelt wurden die IP-Adressen durch die itGuard Inc. Diese hatte zunächst noch keine weiteren Informationen, insbesondere die später durch die Gerichtsbeschlüsse erwirkten Daten der jeweiligen Anschlussinhaber. Man könnte die Daten also bei itGuard Inc. als nicht personenbezogen ansehen. Dann wäre nach der Auffassung des LG Berlin zumindest die Sammlung der Daten nicht datenschutzrechtlich relevant.

Zu beachten ist jedoch, dass die Daten später durch die (vom LG Köln angeordnete) Auskunft der Telekom einzelnen Personen zugeordnet wurden und zugeordnet werden sollten, so dass die IP-Adressen in einem späteren Stadium zu personenbezogenen Daten wurden.

Dabei ist nach allgemeiner Auffassung die Übermittlung von nicht-personenbezogenen Daten an jemanden, der Zusatzwissen hat, und dadurch einen Personenbezug herstellen kann, also Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG anzusehen.

Es kann davon ausgegangen werden, dass itGuard Inc. und The Archive AG wussten, dass der Empfänger einen Personenbezug herstellen will – das war ja gerade der Zweck der Datensammlung! Daher dürfte die Weitergabe der Daten unter das BDSG fallen. Im Ergebnis sind die IP-Adressen somit für alle Beteiligten als personenbezogene Daten anzusehen.

Im Übrigen ist nach dem Vorgenannten auch der Umstand „Nutzer XY hat zum Zeitpunkt Z den Film ABC angesehen“ ebenfalls ein personenbezogenes Datum.

b. Ungerechtfertigte Nutzung der Daten

Nach § 4 BDSG ist jede Verwendung von Daten unzulässig, sofern sie nicht gerechtfertigt ist. In Betracht kommt im Grunde hier nur eine Rechtfertigung nach § 28 BDSG. Im Einzelnen wären das § 28 Abs. 1 Nr. 1 BDSG, weil durch die Abmahnung möglicherweise ein Rechtsverhältnis nach den Grundsätzen der Geschäftsführung ohne Auftrag begründet werden soll, § 28 Abs. 2 Nr. 2 BDSG zur Wahrung berechtigter Interessen eines Dritten bzw. zur Verfolgung von Straftaten.

Grundsätzlich wird man davon ausgehen können, dass die Verwendung von IP-Adressen nach diesen Regeln gerechtfertigt ist, wenn dies zur Verfolgung der Rechte des Rechteinhabers dient. Bestehen allerdings von vornherein kein Rechte, wie dies im Fall der Redtube-Abmahnungen nahe liegt, dann können auch die Rechtfertigungstatbestände nicht greifen. Auch kann in einem solchen Fall kein Rechtsverhältnis durch die Abmahnung entstehen. Im Falle der Redtube-Abmahnungen war die Datennutzung daher vermutlich nicht durch § 28 BDSG gerechtfertigt.

Es ist darauf hinzuweisen, dass – anders als RA Urmann  in seinem Interview geäußert hat – die Gerichtsbeschlüsse des LG Köln (s. Pressemeldung des LG Köln) keinesfalls zu einer Rechtfertigung führen. Das LG Köln hat lediglich auf Grundlage des Vortrages von RA Sebastian geprüft, ob die Voraussetzungen von § 101 Abs. 9 UrhG vorliegen und danach in der Mehrzahl der Fälle (Beispiel eines ablehnenden Beschlusses hier) der Telekom Gegenüber die Herausgabe der Daten angeordnet. Dafür, dass die rechtlichen und tatsächlichen Voraussetzungen der Datenherausgabe tatsächlich vorliegen, ist weiterhin der Antragsteller, hier The Archive AG, verantwortlich.

c. Ordnungswidrigkeit, § 43 BDSG

In Betracht kommen auf dieser Grundlage zunächst verschiedene Ordnungswidrigkeitstatbestände nach § 43 BDSG, wonach

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, …

Datei fällt unter das „Verarbeiten“ in § 43 Abs. 2 Nr. 1 BDSG auch die Übermittlung.

Der Vorsatz und die Fahrlässigkeit beziehen sich auch auf das Tatbestandsmerkmal „unbefugt“. Nach derzeitigem Stand dürfte hier jedenfalls Fahrlässigkeit in Betracht kommen, vermutlich auch Vorsatz mindestens in Form des sog. bedingten Vorsatzes, weil die Beteiligten die fehlende Befugnis für möglich gehalten und billigend in Kauf genommen haben (vgl. dazu auch die Ausführungen von Ulf Buermeyer).

d. Strafbarkeit, § 44 BDSG

Nächste Stufe ist die Strafbarkeit nach § 44 BDSG, der in Abs. 1 lautet:

(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Hier dürfte folgendes gelten:

  • Die itGuards Inc. wird für ihre Dienste bezahlt worden sein => (+)
  • The Archive AG wollte – davon können wir ausgehen – mit den Abmahnungen Geld verdienen und sich dadurch bereichern => (+)
  • RA Sebastian ist für seine Tätigkeit bezahlt worden und wollte seiner Mandantin helfen, sich zu bereichern => (+)
  • Die Kanzlei U+C ist für ihre Tätigkeit bezahlt worden und wollte ihrer Mandantin helfen, sich zu bereichern => (+)
3. Telekommunikations-Strafnormen (§§ 89, 148 TKG)

Eine Strafbarkeit nach §§ 89, 148 TKG scheidet aus, da nicht ersichtlich ist, dass die Beteiligten eine Funkanlage i.S.v. § 89 TKG eingesetzt haben.

4. jeweils: Beteiligung

Wenn man davon ausgeht, dass die Beteiligten um den gesamten Vorgang wussten, dürften sie jeweils für ihre Tathandlung Täter sein. Alternativ kommt – mit entsprechendem Vorsatz – auch eine Strafbarkeit als Gehilfe (§ 27 StGB) oder „mittelbarer Täter“ (dazu Ulf Buermeyer) in Betracht.

 

(Bild von tpsdave, Quelle: http://pixabay.com/en/hawaii-volcano-hot-fire-night-142138/, Lizenz: CC0)

 

 

 

 

Handynummern sind personenbezogene Daten: Belege durch Metaphone-Sample

Studenten der Stanford University haben im November 2013 eine Studie ins Leben gerufen, um zu belegen, dass Metadaten (speziell Telefoniedaten) im Rahmen von Überwachungsprogrammen relevant sind. Hierfür haben sie die Android-App „Metaphone“ entwickelt, die nach der Beschreibung folgendes tut:

MetaPhone is a project to understand call and text privacy. Researchers at Stanford University’s Department of Computer Science are studying metadata to estimate the reach of National Security Agency surveillance.

This study is open to all members of the public 18 or older. An Android smartphone and a Facebook account are required to participate. Participation ordinarily takes under five minutes.

Additional details and contact information are available on the study website. In the course of the study, you will provide mobile phone and social network data to Stanford researchers. Please carefully review the study explanation before electing to participate. The study is entirely voluntary and does not guarantee any benefits.

Rund 6 Wochen später haben die Initiatoren die bisher gesammelten Daten mit öffentlichen Verzeichnissen abgeglichen. Dabei haben sie herausgefunden, dass sie allein mit den – öffentlich zugänglichen – Quellen Yelp, Google Places und Facebook 27,1% der gesammelten Telefonnummern ihren jeweiligen Inhabern zuordnen konnten:

So, just how easy is it to identify a phone number?

Trivial, we found. We randomly sampled 5,000 numbers from our crowdsourced MetaPhone dataset and queried the Yelp, Google Places, and Facebook directories. With little marginal effort and just those three sources—all free and public—we matched 1,356 (27.1%) of the numbers. Specifically, there were 378 hits (7.6%) on Yelp, 684 (13.7%) on Google Places, and 618 (12.3%) on Facebook.

Zusätzlich haben die Studenten aus ihrem Datensatz 100 zufällig ausgewählte Nummern mit einer kommerziellen Datenquelle abgeglichen und erzielten 74 Treffer. Zusammen mit den öffentlichen Quellen kamen sie auf eine Trefferrate von 91%!

What about if an organization were willing to put in some manpower? To conservatively approximate human analysis, we randomly sampled 100 numbers from our dataset, then ran Google searches on each. In under an hour, we were able to associate an individual or a business with 60 of the 100 numbers. When we added in our three initial sources, we were up to 73.

How about if money were no object? We don’t have the budget or credentials to access a premium data aggregator, so we ran our 100 numbers with Intelius, a cheap consumer-oriented service. 74 matched.1 Between Intelius, Google search, and our three initial sources, we associated a name with 91 of the 100 numbers.

Dazu muss gesagt werden, dass die Argumentation in den USA etwas anders ist als hier in Deutschland, da der „Privacy“-Begriff nicht mit der deutschen Definition der „personenbezogenen Daten“ nach § 3 Abs. 1 BDSG übereinstimmt. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten nämlich „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Auf Telefonnummern trifft das in der Regel zu.

Interessant ist die Studie trotzdem auch aus der deutschen Sicht. In Bezug auf IP-Adressen brennt nämlich noch immer der Streit, ob der Personenbezug relativ oder absolut zu bestimmen ist. Absolut heißt hierbei, dass Daten, die auch nur eine Person (bspw. der Access Provider) einer konkreten Person zuordnen kann, unter § 3 Abs. 1 BDSG fallen, während nach dem relativen Begriff zu unterscheiden ist: Wer selbst nicht mit zumutbarem Aufwand die Daten einer konkreten Person zuordnen kann, operiert danach nicht mit personenbezogenen Daten (so zuletzt LG Berlin, Urt. v. 31.1.2013; dazu s. auch meine Anmerkung in der Zeitschrift für Datenschutz (ZD), Heft 12/2013, S. 625 ff.).

Die Metaphone-Studie zeigt nun, dass die öffentlichen Quellen immer relevanter werden – wenn durch Zugriff auf öffentliche Quellen die zu den Daten gehörige Person bestimmt werden kann, handelt es sich für jedermann um personenbezogene Daten, der Streit zwischen relativem und absolutem Personenbezug wird daher im Ergebnis immer weniger relevant.

Dementsprechend düster ist auch das Fazit des Blog-Eintrags:

If a few academic researchers can get this far this quickly, it’s difficult to believe the NSA would have any trouble identifying the overwhelming majority of American phone numbers.

Das gilt selbstverständlich auch für große kommerzielle Unternehmen wie Google, Facebook etc. Um es mit dem Bundesverfassungsgericht zu formulieren: Es gibt (praktisch) keine nicht-personenbezogenen Daten mehr.

(via @FBorgesius)

Störerhaftung für WLAN begrenzen: Protokoll der SV-Anhörung im Landtag NRW online

Wie berichtet, fand am 3.7.2013 eine Sachverständigenanhörung im Wirtschaftsausschuss des Landtages Nordrhein-Westfalen zum Antrag der Piratenpartei (Drs. 16/2284) zur Thematik der Störerhaftung beim Betrieb von WLANs statt, zu der verschiedene Sachverständige bzw. Verbände geladen waren, nämlich

  • Chaos Computer Club e.V. (erschienen: Dr. Julius Mittenzwei, @mittenzwei)
  • Ulf Buermeyer (@vieuxrenard)
  • Dr. Frey von FREY Rechtsanwälte
  • GEMA
  • Verband freier Deutscher Künstler e.V.
  • Verbraucherzentrale NRW
  • eco-Verband
  • VG Wort
  • ich

Es gab acht schriftliche Stellungnahmen, die online verfügbar sind. Die Diskussion dreht sich auch um den im Bundestag durchgefallenen  Gesetzesentwurf des Digitale Gesellschaft e.V., nach dem in § 8 TMG folgende Absätze 3 und 4 angefügt werden sollten:

(3) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch gewerbliche und nichtgewerbliche Betreiber von Funknetzwerken, die sich an einen nicht im Voraus namentlich bestimmten Nutzerkreis richten (öffentliche Funknetzwerke).
(4) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch Ansprüche auf Unterlassung.

Nun ist auch das Wortlautprotokoll der Ausschusssitzung online verfügbar (Ausschussprotokoll APr 16/288, 03.07.2013).

Ich hatte bereits in einem früheren Artikel über den Verlauf der Sitzung geschrieben. Das Wortlautprotokoll gibt diesen nun auf 27 Seiten genau wieder. Zur kurzen Erläuterung: Es gab mehrere Fragerunden, bei denen zunächst alle Fragen gestellt wurden, und dann alle Sachverständigen nacheinander die an sie gerichteten Fragen beantworten konnten.

Statt alles nochmal zusammenzufassen, hier nur ein paar Highlights (in der Reihenfolge der ersten Fragerunde):

Prof. Rotert (eco):

Um ein kleines Beispiel zu geben: Ein Hotel hat eine Abmahnung bekommen und dann sofort alles wieder abgebaut und gesagt, das sei eine Fehlinvestition gewesen, es wolle damit nichts mehr zu tun haben, und dies aufgrund der Tatsache, dass diese Abmahnung praktisch eine Vorverurteilung enthielt. – Auf dem Weg hierher kam eine Mail von einem Hotelier herein, der vor drei Jahren eine Abmahnung bekam, der er widersprochen hat; er hat auch nichts bezahlt. Jetzt kommt ein Inkassounternehmen und sagt, wenn er nicht sofort bezahle, gebe es Einträge bei der Schufa. Hier wird also durchaus extremer wirtschaftlicher Druck ausgeübt. …

Zur wirtschaftlichen Bedeutung sagen mir die Hotels: Wenn sie heute kein kostenloses WLAN anbieten können – gerade die kleineren Häuser, weniger die Fünf-Sterne- Häuser –, brauchen sie erst gar nicht anzutreten, werden sie gemieden, insbesonde- re von den Geschäftsreisenden. Angesichts der Anzahl der Häuser kann man sich ausrechnen, welches Potenzial dahintersteht.

Verfolgbarkeit über Mobilfunk funktioniert gar nicht. Schon die Vorratsdatenspeiche- rung hat beim Mobilfunk genau aus dem Grunde nicht funktioniert, weil die Zuord- nung Telefonnummer/IP-Adresse schlichtweg aufgrund der Mobilität nicht gegeben ist. Es kommt aber noch ein anderer Punkt hinzu: Die Software zum Feststellen der IP-Adresse wurde von Abmahnanwälten – ich bezeichne sie jetzt einmal so leger – oder von Firmen, die diesen Anwälten gehören, selbst entwickelt. In der Schweiz ist diese Software übrigens verboten. Sie müsste eigentlich, wenn man es genau nimmt, denselben Verordnungsrichtlinien zur Telekommunikationsüberwachung unterliegen wie die bei einer ganz normalen Überwachung überhaupt. Ob die Software Fehler hat oder ob sie richtig funktioniert, weiß also kein Mensch. Ob die Adressen auch stimmen, für die dann angefragt wird – es werden pro Monat 300.000 IP-Adressen bei den Providern angefragt –, ob sie alle in Ordnung sind, weiß niemand. Die Aus- schussrate ist nach dem, was die Provider sagen, eigentlich sehr hoch, weil manche Adressen überhaupt keinen Sinn machen.

Dr. Frey (FREY Rechtsanwälte):

Es ist in der Tat so, dass die Rechtsprechung die Regeln der §§ 7 ff. Telemediengesetz nicht auf Sachverhalte anwendet, die sie nach den Regeln der Sto?rerhaftung beurteilt. Dies halte ich fu?r grundlegend falsch und fu?r mit europa?ischem Recht auch so nicht vereinbar, weil der Europa?ische Gerichtshof, wenn er die Richtlinien u?ber den elektronischen Ge- scha?ftsverkehr auslegt, auch diese Regeln u?ber die Haftungsprivilegierung der Provider auf Unterlassungssituationen anwendet. …

Aus meiner praktischen Erfahrung kann ich besta?tigen, dass die Pflichten oder potenziellen Pflichten eben an der Stelle nicht klar sind, wo kleine Hotelbetreiber, wo Internet-Cafe?s, wo Kommunen in die Rolle des Telekommunikationsdiensteanbieters schlu?pfen. Deswegen halte ich diese Klarstellung fu?r wichtig.

… hier muss sich wiederum der Gesetzgeber fragen, ob er Jahre der Rechtsstreitigkeiten abwarten will, um zu einer Klarheit, zu einer Rechtssicherheit zu kommen, die dem adressierten Ziel wahrscheinlich nicht gerecht wu?rde.

Sehr spannend war auch, dass Dr. Frey eine de minimis-Regelung im TKG für Kleinstanbieter verlangt:

Die Pflichten nach dem TKG sind sehr aufwendig. Ich kann es kurz skizzieren. Der Anbieter muss zum Beispiel sicherstellen, dass das Fernmeldegeheimnis, ein ganz wichtiges Thema, auch hier gewährleistet wird. Es muss Datenschutz gewährleistet werden. Dafür müssen Anbieter von Telekommunikationsdiensten bei der Bundes- netzagentur ein Sicherheitskonzept vorlegen. Es besteht eine Meldepflicht bei der Bundesnetzagentur. Das würde kleine Anbieter, denen wir mit diesem Schritt der Anwendung des § 8 TMG im Bereich der Störerhaftung etwas Gutes tun wollten, strukturell überfordern. Also müsste man auch in diesem Bereich so etwas wie eine [de minimis]-Lösung finden, damit diese sehr komplexen Regeln des Telekommunikationsgesetzes nicht ohne Weiteres auch in diesem Bereich zur Anwendung kämen. Das muss unbedingt mit bedacht werden.

Iwona Husemann (Verbraucherzentrale Düsseldorf):

Für uns, die wir das ausschließlich aus Verbrau- chersicht beurteilen, ist eher die Frage, inwieweit man Verbraucher – wenn es politisch gewünscht und gewollt ist, dass sie sich daran beteiligen, dass flächendeckend WLAN-Netze verfügbar sein sollen – zu den bisherigen gesetzlichen Regelungen und angesichts der Problematiken mit der Störerhaftung daran beteiligen kann oder will. Deswegen halten wir es für einen gangbaren Weg, den § 8 Telemediengesetz dann auch auf private WLAN-Betreiber anzuwenden, gerade damit sie dann auch diese Haftungserleichterungen erfahren können.

Ulf Buermeyer (@vieuxrenard):

Jedenfalls die deutsche Handhabung des § 8 TMG, der be- stimmte Access-Provider aus dieser Haftungsprivilegierung ausnimmt, ist aus meiner Sicht eindeutig europarechtswidrig. Würde also diese Frage dem EuGH einmal von einem deutschen Gericht vorgelegt, müsste man mit größter Wahrscheinlichkeit davon ausgehen, dass der EuGH sagte: Eine Handhabung der deutschen Normen, die Privatleute und kleine Gewerbetreibende, also diese Nebenbei-Provider, von der Haftungsfreistellung ausnimmt, ist unzulässig. …

Meines Erachtens ist es in der Tat ein Problem für den einen oder anderen Kollegen – ich argumentiere jetzt küchenpsychologisch –, eine Haftungsfreistellung anzuerkennen, weil die Intuition ist: Da gibt es eine Rechtsverletzung, und es muss doch sein, dass irgendwer dafür haftet. Derjenige, der wirklich verantwortlich ist, zum Beispiel der Filesharer, ist nicht greifbar. Aber irgendwer muss doch haftbar sein. Das ist natürlich Küchenpsychologie; das hat mit Rechtswissenschaft nicht so wahnsinnig viel zu tun. Aber es erklärt im Hintergrund, warum der eine oder andere Kollege intuitiv, also noch bevor er in die Rechtsprüfung einsteigt, zu dem Ergebnis kommt: Es kann doch nicht sein, dass da eine Haftungsfreistellung Platz greift.

Wenn man eine Abmahnung über 500 oder 1.000 € bekommt, dann ist das natürlich eine ganze Menge Geld; nur wäre das Kostenrisiko, das bei einer gerichtlichen Entscheidung möglicherweise auf denjenigen zukäme, noch signifikant höher. Deswegen gehen eben sehr viele Verbraucherinnen und Verbraucher das Risiko gar nicht erst ein, ebenso sehr viele Gewerbetreibende, sondern zahlen lieber zähneknirschend und schalten anschließend möglicherweise ihr WLAN ab.

as ist genau das Problem: Hier gibt es eine abschreckende Wirkung. Ich habe vor dem Deutschen Bundestag so schön gesagt: Bei den deutschen WLAN-Providern geht die Angst um, sodass man im Zweifel lieber abschaltet. Die Rechtslage wird letzten Endes gar nicht richtig geklärt. Das ist das Kernproblem. Die Abmahnenden machen sich eine etwas unklare Rechtslage zunutze, und im Zweifel spielt ihnen das in die Hände. …

Ich habe gerade kurz gegoogelt, wie das Zahlenverhältnis ist. Wir haben in Deutschland etwa 40 Millionen Internetzugänge, aber nur rund 400.000 Gaststätten und Hotels. Das heißt, allenfalls 1 % der Anschlussinhaber sind Hotels oder Gaststätten. Selbst wenn man davon ausgeht, dass Privatleute und Gäste in Hotels etwa gleich viel dazu neigen, Urheberrechte zu verletzen, kann man davon ausgehen, dass maximal 1 % der Urheberrechtsverletzungen über Anschlüsse von Hotels und Gaststätten vorgenommen werden. …

Die Kritik an der derzeitigen Auslegung von § 8 TMG nimmt vor allem die Verbrau- cher in den Blick, die zum Beispiel in den Freifunknetzen letzten Endes aus Altruismus für ihre Mitmenschen einen Internetzugang zur Verfügung stellen und sich damit großen Haftungsrisiken aussetzen. Es werden jetzt Gruppenlösungen gefunden, indem man die Daten einen Umweg über Schweden nehmen lässt, weil es in Schweden eben keine Störerhaftung gibt. Das ist zwar eine technische Möglichkeit, ist aber sehr komplex. Ich muss ganz ehrlich sagen: Wenn jemand schon so viel Bürgersinn an den Tag legt, dass er anderen Leuten einen Internetzugang bietet, diesen be- rühmten digitalen Schluck Wasser anbietet, dann sollte die Rechtsgemeinschaft das akzeptieren. Sie sollte das sogar unterstützen und fördern und sollte diese Menschen nicht auch noch mit Haftungsrisiken strafen. …

Ich lege als denkbare Änderung den Gesetzentwurf des Digitale Gesellschaft e. V. zugrunde, der auch schon im Deutschen Bundestag verhandelt worden ist, einfach deshalb, weil es bislang der einzige ist, den es jedenfalls nach meiner Kenntnis gibt, der eine konkrete Regelung zur Abschaffung der Störerhaftung vorschlägt. Wenn man diesen Gesetzentwurf zugrunde legt, dann sind überhaupt keine Kollate- ralschäden zu erwarten, weil dieser Entwurf mit zwei Absätzen einfach nur ganz präzise die zwei rechtlichen Zweifelsfragen, ganz freundlich gesagt, adressiert, die zu der derzeit unzuträglichen Rechtslage führen. …

Aber das ist heute auch in UMTS-Netzen bereits so; denn diese Netze – das hat Dr. Mantz auch kurz angeschnitten – setzen weitgehend auf dieselbe Technologie. Auch in UMTS-Netzen bekommen Sie heute, wenn Sie sich da einwählen, in aller Regel keine IP mehr, die quasi direkt im Internet auftritt. Vielmehr werden Sie auch da über einen Router beim Provider geleitet und sind da mit vielen hundert anderen Nutzern desselben UMTS-Netzes über diesen selben Router über dieselbe öffentliche IP im Internet unterwegs. … Mit anderen Worten: Es gibt diese Haftungsfreistellung im UMTS-Netz sowieso schon. Das heißt, es gibt ohnehin schon massenhafte und völlig unproblematische Möglichkeiten, das Internet anonym zu nutzen. Darüber hinaus gibt es natürlich noch reihenweise andere – Internet-Cafés möchte ich nennen – oder selbstverständlich auch technisch komplexe Verfahren wie Anonymisierungssysteme im Internet und so etwas.

Der Punkt zum Mitnehmen ist einfach nur: Identifikationspflichten sind machbar, datenschutzrechtlich heikel, aber technisch sinnlos.

Dr. Reto Mantz (@offenenetze):

Die wirtschaftliche Auswirkung der derzeitigen Rechtsunsicherheit ist zum einen, dass Pri- vatpersonen solche WLANs nicht machen, aber eben auch, dass bei Hotels eine prohibitive Wirkung eintritt. Das hat aber auch zur Folge, dass klassische Access-Provider wie die Telekom oder Kabel Deutschlandhier bevorteilt werden. Die Telekom plant derzeit das sogenannte WLAN to go: Privatpersonen sollen quasi im Rahmen ihres normalen Telekom-Vertrages einen öffentlich zugänglichen WLAN-Hotspot aufspannen. Die Telekom sagt hier: Wir stellen dich von der Haftung frei. Warum kann die Telekom so agieren? Weil sie durch § 8 TMG nicht nur rechtlich, sondern auch praktisch privilegiert ist. Die derzeitige Auswirkung der Rechtslage ist als negativ zu betrachten. …

Der zweite Grund, warum Nebenbei-Provider wie Hotels, Gaststätten, aber auch Ju- gendheime, Schulen, Kommunen etc. eigentlich nicht durch Urheberrechtsverletzun- gen auffallen, aber dennoch von der prohibitiven Wirkung betroffen sind, besteht da- rin, dass sich öffentliche WLANs für Filesharing schlicht und einfach nicht gut eignen; denn die Bandbreite ist heutzutage doch begrenzt, da sehr viele WLANs überall aufgespannt sind. Wenn zwei Leute in einem Café Filesharing betrieben, wenn das gut funktionierte, dann wäre der Kanal schon dicht, sodass das auch nichts tatsächlich Attraktives ist. …

Von der Telekom verlangt man nichts. Man verlangt weder eine Registrierung noch eine Belehrung noch Filtermaßnahmen noch Portsperren noch irgendetwas, gar nichts. Die Telekom muss einfach gar keine Maßnahmen ergreifen. Die Frage ist: Warum soll der Hotelbetreiber, der nach dem Gesetz nichts anderes als das tut, was auch die Telekom macht, hierbei anders behandelt werden? Wir haben es schon gesagt: Das wird in der Rechtsprechung eben ohne Stütze im Gesetz anders behandelt. …

Das Landgericht München hat im Jahr 2012 sehr deutlich gesagt: Es besteht keine Pflicht, Nutzer in WLANs zu identifizieren. Das Landgericht München hat buchmäßig alle möglichen rechtlichen Grundlagen durchgeprüft und immer gefragt: Erwächst hieraus die Pflicht, den Nutzer zu identifizieren und dann im Zweifelsfall auch benennen zu können? … In technischer Hinsicht muss man sagen: Die Tatsache, dass man jemanden identifiziert, und die Möglichkeit, anschließend sagen zu können, dass der Betreffende der Täter war, sind zwei vollkommen unterschiedliche Dinge. Aber selbst wenn wir das einmal unterstellen, dass man denjenigen identifiziert und den Namen herausgibt, dann muss man sagen: Als Störer würde man ja immer noch haften. Diejenigen, die die Rechte verfolgen, also in diesem Fall die Abmahnkanzleien, werden sich davon nicht beeindrucken lassen, sondern weiterhin aus den Grundsätzen der Störerhaftung gegen den Anbieter vorgehen und möglicherweise zusätzlich aus dem Hintergrund der Täterhaftung gegen den eigentlichen Täter. Das heißt, hier ist eine Registrierung definitiv kontraproduktiv. …

Die letzte Frage bezog sich auf die Verfolgbarkeit. Sie haben es schon angesprochen: Im UMTS-Netz ist auch heute tatsächlich bei vielen Providern eine Verfolgbarkeit nicht gewährleistet, weil im Nachhinein nicht festgestellt werden kann, wer denn der Rechtsverletzer ist. Das heißt, wenn ich heute ins Internet gehe, mich unter einem falschen Namen in ein Forum einlogge und dann einen der hier Anwesenden auf übelste Art und Weise beleidigen sollte, drohte mir da vermutlich nicht allzu viel. Das ist schon heute so, und daran ändert sich dann auch später nichts. …

Die Sicherheitsmaßnahmen oder das Sicherheitskonzept könnten schon eher ein Problem sein. Aber auch hier gilt: Wenn ich nur ein oder zwei WLAN-Hotspots – dazu wird vielleicht Herr Rotert etwas sagen können – betreibe, dann brauche ich auch kein wahnsinnig großes Sicherheitskonzept. Das ist tatsächlich meines Erachtens keine so große Hürde, auch wenn ich hierfür die Minimize-Regeln durchaus befürworte, wie sie zum Beispiel bei der TK-Überwachung bereits existieren: TK- Überwachung erst ab 10.000 Nutzer; WLANs werden das kaum erreichen können. …

UMTS reicht nicht, um arbeiten zu kön- nen. Das ist richtig. Was die Bundesregierung meines Erachtens ebenfalls verkannt hat, ist die Tatsache, dass ganz besonders die großen Provider, Telekom etc., ganz stark auf WLAN setzen. In den nächsten Jahren haben wir eine Vervielfachung des Datenverkehrs zu erwarten. Auch wenn wir alle jetzt sofort LTE zur Verfügung hätten, würde LTE hierfür nicht ausreichen, ganz und gar nicht.

Dr. Julius Mittenzwei (Chaos Computer Club e.V., @mittenzwei):

Ich brauche breitbandiges Internet, um kreativ zu sein, um arbeiten zu können. Es gibt zwar schon in den Großstädten UMTS und so etwas, aber es ist einfach mühsam, über das Handynetz zu gehen, und man kann einfach nicht effektiv arbeiten, kreativ sein und alles Weitere. Deshalb nehme ich an, dass es sich vermutlich nicht irgendwie in Wirtschaftswachstum niederschlagen wird. Aber für die gesamte Internetkreativwirtschaft ist freies WLAN eine Conditio sine qua non, ohne die man einfach nicht arbeiten kann. Ich sage es einmal überspitzt: Es wird in Deutschland nichts mit einem deutschen Silicon Valley, wenn es schon am Internet fehlt. Das ist eigentlich die Grundvoraussetzung für alles Weitere. …

Als Letztes kam die Frage zu der Neuregelung, die in der letzten Woche im Bundestag beschlossen wurde. Meines Erachtens wird auch hiermit an der Rechtsfolgenseite herumgedoktert. Trotzdem ist man erst einmal Verletzer oder wird auf Unterlas- sung oder Ähnliches in Anspruch genommen, und dann ist nur hinten herum die Kos- tenseite begrenzt. Selbst dies schafft nicht die klare Regelung, die eigentlich notwendig wäre, um freie WLANs an allen Orten zu ermöglichen, an denen man sich aufhält. …

Zu der Frage, ob eine Registrierungspflicht überhaupt praktikabel wäre: Ich bin da skeptisch, gerade dann, wenn diese Registrierungspflicht irgendwie eine ernst zu nehmende Sicherung darstellen soll. Man müsste irgendwelche Zertifikatsinfrastruktur oder Ähnliches schaffen. Das alles ist technisch schwierig. Selbst solche Regelungen, dass man irgendetwas akzeptieren muss oder Ähnliches, bilden eigentlich nur eine psychologische Hürde, wenn beispielsweise Nutzer aufgerufen werden, dass man in einem offenen WLAN ist, möglicherweise jemand anderes Ärger bekommt und dass man sich bitte dementsprechend zu benehmen hat. An sich bewegt man sich einfach innerhalb dieses WLANs, wo man sich nicht wie bei einem UMTS-Netz – das betrifft den zweiten Teil der Frage – irgendwie mit einer SIM-Card anmeldet. Vielmehr meldet sich jeder Rechner nur mit seiner Netzwerkkennung an, von seiner Karte, die aber nirgendwo zentral registriert ist und die man auch, wenn man sich auskennt, in seinem Laptop beliebig ändern kann. Meines Erachtens ist irgendeine Registrierungspflicht nicht praktikabel….

Die stete Gegenreaktion, dass man bei Straftaten wie Urheberrechtsverletzungen, die im Internet – wie im normalen Leben auch – begangen werden, immer nach tota- ler Kontrolle schreit, ist eigentlich ein Reflex, den man durchaus hinterfragen muss. Wenn man dann aber die Statistik liest, sind die Aufklärungsquoten von Straftaten im Internet – ich nehme an, das wird bei Urheberrechtsverletzungen ähnlich sein – einfach viel höher als von allen anderen Straftaten, die irgendwie im täglichen Leben offline begangen werden. Man wird also damit leben müssen, dass man dann gewisse Sachen einfach nicht verfolgen kann, weil Registrierungspflicht und Ähnliches nicht praktikabel sind.

Zur Frage der politischen Bedeutung: Ich teile die Auffassung, dass man das lieber früher als später regeln und klarstellen sollte, statt noch einmal weitere Jahre zu warten, bis das durch alle Instanzen hin und zurück entschieden ist. Es sollte bessere jetzt eine Regelung getroffen werden, weil die Bevölkerung jetzt und nicht in zehn Jahren schnelles Internet braucht.

Wir werden sehen, ob in das Thema in der nächsten (Bundes-)Legislaturperiode wieder aufkommt. Es wäre zu hoffen, dass hier eine Regelung gefunden wird.

Aufsatz „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“, K&R 2013, 7, erschienen

In eigener Sache:

Mein Aufsatz mit dem Titel „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“ ist mittlerweile in der Zeitschrift Kommunikation & Recht (K&R), Heft 1/2013, S. 7 ff., erschienen.

Der Aufsatz beschäftigt sich mit der Absicht von Telefonica/O2, Standortdaten und Bewegungsprofile seiner Kunden zu verkaufen, ich hatte am 30.10.2012 bereits eine kurze Bewertung abgegeben.

Die Aus- und Verwertung von vorhandenen Datenbeständen wird auch in der Zukunft weiter aktuelles Thema bleiben. Dies zeigt nicht zuletzt der vor einigen Tagen erschienen Artikel von Fischermann und Hamann mit dem Titel „Wer hebt das Datengold?“. Der nun in der K&R erschienene Aufsatz behandelt die Problematik speziell im Hinblick auf die Verwertung von Daten durch Telekommunikationsdiensteanbieter, die bereits durch die reine Diensterbringung die Möglichkeit haben, relevante und sensitive Datensammlungen über ihre Kunden anzulegen (und dies wie das Beispiels Telefonica/O2 zeigt offenbar wenigstens teilweise auch tun).

Dabei gehe ich in dem Aufsatz insbesondere auf den Telekommunikationsdatenschutz der §§ 91 ff. TKG und den allgemeinen Datenschutz des BDSG, aber auch die Verletzung des Fernmeldegeheimnisses nach § 206 StGB ein.

Siehe auch:

Telefonica will Standortdaten seiner Kunden verkaufen – Eine kurze Bewertung

Wie heute berichtet wird, plant Telefonica (u.a. O2), die Standortdaten seiner Kunden als Produkt namens „Smart Steps“ in Form von Bewegungsprofilen an gewerbliche Kunden zu verkaufen.

Die Tagesschau erläutert dazu:

Durch ihre Bewegungsdaten erfährt der Geschäftsbesitzer von Telefónica nicht nur, dass Sie vor seinem Schaufenster stehen geblieben sind. Er erfährt auch, aus welcher Richtung Sie kamen, wie lang Sie stehen geblieben sind, wie alt Sie sind und welchem Geschlecht Sie angehören. Wertvolle Informationen – die, so Telefónica, allerdings anonymisiert werden.

Wann der Dienst in Deutschland starten soll, ist noch unklar. Allerdings kündigt Telefonica/O2 bereits jetzt an, auch die deutschen Datenschutzbestimmungen einhalten zu wollen. Möglich machen soll es eine Anonymisierung plus Einwilligung des Kunden. In den AGB soll zudem eine entsprechende Einwilligungserklärung vorhanden sein.

Ich bin gespannt, wie Telefonica/O2 diese Ankündigungen möglich machen will. Denn datenschutzrechtlich bewegt sich der Konzern auf sehr unsicherem Grund. Insbesondere sieht § 98 TKG einen sehr speziellen und weitgehenden Schutz von Standortdaten vor, um den Telefonica nur schwerlich herumkommen wird.

Anonymisierung

Schon die behauptete Anonymisierung ist kaum das Allheilmittel, das Telefonica sich davon erhofft. Denn nach den derzeitigen Produktbeschreibungen ordnet Telefonica die Standortdaten eindeutig einer Person zu. Wenn Telefonica behauptet, die Daten seien anonymisiert, dann ist wohl gemeint, dass derjenige, der die Daten kauft, nicht den Namen des Kunden erfährt. Das soll eine Anonymisierung darstellen. Dazu sind zwei Dinge zu beachten:

1. Rechtswidrige Erhebung der Daten bei Telefonica

Um ein Bewegungsprofil zu erhalten, müssen die Daten bei Telefonica selbst nicht-anonymisiert vorliegen. Wenn die Daten anonymisiert wären, könnte Telefonica ab dem Zeitpunkt der Anonymisierung das Bewegungsprofil nicht mehr fortführen. Damit dürfte die Behauptung widerlegt sein, dass die Daten (bei Telefonica/O2) überhaupt anonymisiert werden.

Für diese Erhebung und das Anlegen eines Bewegungsprofils benötigt Telefonica nach § 4a Abs. 1 BDSG eine Rechtfertigung. Diese kann praktisch nur in einer Einwilligung liegen. Es dürfte kaum möglich sein, dass Telefonica eine solche Einwilligung vom Kunden in der erforderlichen Form (insb. klar, verständlich, deutlich hervorgehoben (nicht versteckt in AGB) und ohne Verstoß gegen das Kopplungsverbot) einholen können wird. Auch Thilo Weichert vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein hat bereits Zweifel am Vorgehen von Telefonica zu erkennen gegeben.

Damit wäre bereits die Erhebung der Daten datenschutzrechtswidrig. Das betrifft dann natürlich auch die weitere Verwendung. Daten, die rechtswidrig erhoben werden, müssen nach § 35 Abs. 2 S. 2 BDSG unverzüglich gelöscht werden – sie können also gar nicht erst für den Käufer anonymisiert und verkauft werden.

2. Anonyme Daten für den Käufer?

Vermutlich ist Telefonica/O2 der Auffassung, dass die Daten an den Abnehmer anonymisiert weitergegeben werden, indem Name etc. nicht mit übermittelt werden. Das dürfte ein Trugschluss sein. Anonym sollen Daten nach § 3 Abs. 6 BDSG in folgenden Fällen sein:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Das Gegenteil von anonymen Daten sind personenbezogene Daten nach § 3 Abs. 1 BDSG:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dabei ist zu beachten, dass es ausreicht, wenn Daten personenbeziehbar sind, wenn also unter Verwendung z.B. von anderen Daten herausgefunden werden kann, welcher natürlichen Person die Daten zuzuordnen wären.

Nach der Ankündigung will Telefonica dem Käufer der Daten ermöglichen, z.B. herauszufinden, wann und wie lange ein Kunde in seinem Geschäft verweilt hat, aus welcher Richtung er kam etc. Es ist nicht schwer sich vorzustellen, dass der Käufer – auch ohne, dass er den Namen seines Kunden von Telefonica erfährt, in vielen Fällen herausfinden können wird, auf welchen seiner Kunden sich die von Telefonica erworbenen Daten beziehen. In einem Extrembeispiel einer kleinen Boutique mit wenigen Stammkunden muss der Inhaber des Geschäfts im Grunde nur die Kreditkartenabrechnung (Zeitpunkt eines Einkaufs) mit den Daten von Telefonica abgleichen, um herauszufinden, auf welchen Kunden sich die Daten von Telefonica beziehen.

Dieses Beispiel mag zunächst sehr speziell wirken. Es sollte aber nicht vergessen werden, dass auch in Geschäften heutzutage eine Vielzahl von Daten erhoben werden. So ließen sich die Bewegungsdaten nicht nur mit den Abrechnungsdaten, sondern z.B. auch mit Videoaufnahmen kombinieren und so ein eindeutiger Personenbezug herstellen.

Dieser Befund lässt sich im Übrigen ohne weiteres allein auf die Normen des BDSG stützen – der spezielle und weitreichende Schutz des § 98 TKG untermauert ihn zusätzlich.

Fazit und Ausblick

Nach meiner Auffassung wird es Telefonica kaum möglich sein, einen solchen Dienst in Übereinstimmung mit deutschem Recht einführen zu können. Es ist schwer vorstellbar, dass Telefonica eine wirksame Einwilligung seiner Kunden in das Vorgehen erhalten wird, zumal eine solche Einwilligung nachträglich für Bestandskunden eingeholt werden müsste. Auf § 28 BDSG kann sich Telefonica kaum stützen. Das Anlegen und Verkaufen von Bewegungsprofilen gehört nun einmal nicht zu den vertraglich erforderlichen Datennutzungen bei einem Mobilfunkvertrag.

Es ist zu hoffen, dass Telefonica/O2 diese Fragen vor Einführung durch die Rechtsabteilung/externe Kanzleien klären lassen wird – wenn dies nicht bereits erfolgt ist. Es ist wie gesagt schwer vorstellbar, dass ein solches Gutachten zum Ergebnis kommen kann, dass „Smart Steps“ mit deutschem Recht vereinbar ist.

Kunden von Telefonica/O2 können vermutlich bereits nach der jetzt erfolgten Ankündigung rechtlich gegen Smart Steps vorgehen. Telefonica hat im Grunde angekündigt, über seine Kunden Daten unter Verstoß gegen §§ 43, 44 BDSG zu erheben. §§ 43, 44 BDSG stellen Schutzgesetze im Sinne des § 823 Abs. 2 BGB dar. Daher bestehen gute Aussichten, dass ein vorbeugender Unterlassungsanspruch der Kunden von Telefonica/O2 nach § 823 Abs. 2 BGB besteht, die Ankündigung begründet jedenfalls die Wiederholungsfahr. Des Weiteren dürften die Verbraucherzentralen ein Interesse daran haben, gegen solche Modelle frühzeitig vorzugehen.

Es ist abzuwarten, ob entsprechende Abmahnungen (und einstweilige Verfügungen) in naher Zukunft bei Telefonica/O2 eintreffen werden.