ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

23. Oktober 2008

Initiative D21 - Können die Bürger dem Daten- und Verbraucherschutz im Internet trauen?
Veranstaltung des Gütesiegel-Boards der Initiative D21 e.V. unter Schirmherrschaft des Bundesministers für Ernährung, Landwirtschaft und Verbraucherschutz

Wie können Verbraucherschutz und Datenschutz im Internet und im privaten Bereich gestärkt werden?

Thilo Weichert

Im Editorial der renommierten deutschen juristischen Fachzeitschrift NJW in Heft 39/2008 titelt der Vorstand des Verbraucherzentrale Bundesverbandes – vzbv, Gerd Billen „Datenschutz ist Verbraucherschutz“. Was er dann auflistet, ist ein Katalog von Unzulänglichkeiten. Dabei geht es nicht nur um aktuell bekannt gewordene kriminelle Machenschaften, gewaltige Missstände bei der Datensicherheit vieler Unternehmen und den Umstand, dass Verbraucherinformationen zur Handelsware geworden sind. Gerd Billen weist darauf hin, dass bei Werbung und Marketing das Opt-out dem Opt-in, weichen müsse, dass die Freiwilligkeit von Einwilligungen nicht vom Zugang zu Dienstleistungen abhängig gemacht werden darf, dass klargestellt werden müsse, dass Datenschutzregelungen verbraucherschützende Wirkungen zukommt, so dass Verbraucherverbände gegen Verstöße klagen können, und dass Verbraucher noch nicht hinreichend sensibilisiert sind, um sich gegen „Datenfischer“ behaupten zu können. All dies mag eine Ursache sein, dass gemäß einer Umfrage des Eurobarometers vom Februar 2008 86% der deutschen Verbraucherinnen und Verbraucher angaben, kein Vertrauen in die Praxis des Datenschutzes zu haben. Ich wäre interessiert zu wissen, wie seitdem nach den öffentlich gewordenen Missständen das Misstrauen weiter gewachsen ist.

Nach dieser Kurzbestandsaufnahme kann die Behauptung Billens „Datenschutz ist Verbraucherschutz“ nicht als Fakt, sondern allenfalls als Programmsatz verstanden werden. Als Programmsatz vertrete ich diese Behauptung seit vielen Jahren, bisher mit wenig Erfolg. Herr Billen endet mit der Hoffnung, dass die jetzt anstehende Novellierung des Bundesdatenschutzgesetzes dazu genutzt wird, die derzeitigen rechtlichen Unzulänglichkeiten abzustellen und die Gesetzeslage an die Herausforderungen des digitalen Zeitalters anzupassen.

Diese Hoffnung teile ich, aber nur bedingt. Richtig ist, dass nach dem sog. Datenschutzgipfel am 4. September 2008 sowohl die zuständigen Bundesminister – für Verbraucherschutz, für Justiz, für Wirtschaft und für Inneres – wie auch die Bundesländer sich verpflichtet haben, bis November des Jahres einen Gesetzentwurf vorzulegen, der wichtige Verbesserungen bringen soll: die Zulassung der Datenweitergabe für Werbezwecke nur noch nach Einwilligung, also das sog. Permission marketing oder Opt-in, das schon erwähnte Koppelungsverbot, wobei dies bisher nur für marktbeherrschende Unternehmen gelten soll, eine Verschärfung der Sanktionen bei Datenschutzverstößen sowie eine Präzisierung von Protokollierungs-, Auskunfts- und Benachrichtigungspflichten.

Verblüffend ist für mich, dass trotz der offensichtlich gewaltigen Vollzugsdefizite beim Datenschutz und dem Umstand, dass dies zumindest teilweise auf eine katastrophale Unterbesetzung der Aufsichtsbehörden zurückzuführen ist, bisher nur ein Land anlässlich der aktuellen anstehenden Haushaltsberatungen eine Verbesserung der Ausstattung angekündigt hat. Angesichts der Finanzkrise der öffentlichen Haushalte, die durch die aktuellen Bankenkrise nochmals angeheizt wird, will ich über Personalnot nicht klagen, sondern diese nur feststellen. Im Folgenden soll es vor allem um rechtliche Vorschläge zur Stärkung des Verbraucherdatenschutzes gehen, die oft, aber nicht immer kostenneutral sind.

Angekündigt wurde von Bundesinnenminister Wolfgang Schäuble ein Datenschutzauditgesetz. Dieses wird zwar schon seit 2001 in § 9a des Bundesdatenschutzgesetzes, dem BDSG, versprochen. Praktisch ernst gemacht hat damit aber bisher nur Schleswig-Holstein, das seit 7 Jahren datenschutzrelevante Verfahren auditiert und datenschutzkonformen IT-Produkten und Dienstleistungen nach gutachterlicher Prüfung und behördlicher Verifikation ein Gütesiegel verleiht. In Schleswig-Holstein erfolgt dies auf freiwilliger Basis und ist gebührenpflichtig, so dass weder die Wirtschaft gezwungen, noch der Landeshaushalt belastet wird. Dennoch wehren sich große Teile der Wirtschaft und die Länder mit Händen und Füßen gegen eine bundesweite Realisierung dieses Konzeptes. Obwohl die IHK Schleswig-Holstein für ein durch eine unabhängige Zertifizierungsstelle qualitätsgesichertes Audit warb, lehnt der Deutsche Industrie- und dies Handelskammertag dies weiterhin ab. Trotz des Umstands, dass renommierte Unternehmen wie Microsoft, der TÜV IT oder auch die Telekom das schleswig-holsteinische Konzept befürworten, scheinen immer noch die Bremser mit dem Argument „weniger Staat“ den Ton der Wirtschaft anzugeben. Der Widerstand der Bundesländer basiert wohl vor allem auf der Furcht vor neuen Aufgaben, neuem Aufwand und neuen Kosten. Für den Grundrechts- und Verbraucherschutz lassen sich Aufwand und Kosten nicht immer vermeiden. Doch gerade hier kann Kostendeckung für alle Beteiligten erreicht werden, weil wir auf eine Win-Win-Konstellation abzielen. Das Unabhängige Landeszentrum für Datenschutz hat seine Erfahrungen und sein Know-how dem Bundesinnenministerium angeboten.
 
Den Bedenkenträgern Rechnung tragend hat das Bundesinnenministerium auf dem Datenschutzgipfel Anfang September angekündigt, die Zertifizierung durch private Gutachter vornehmen zu lassen. Vorgestern wurde ein Referentenentwurf bekannt, der unsere konstruktiven Vorschläge einfach ignoriert. Wir haben immer, vor allem bei der Zertifizierung von IT-Produkten, vor einem zu billigen Gütesiegel gewarnt: Unsere Erfahrungen mit den privaten Gutachten ist, dass diese – um möglichst scheinbar günstige Angebote machen zu können – oft zunächst nicht die nötige technische und rechtliche Durchdringung aufweisen. Auch der Eindruck von Gefälligkeitsgutachten war in einigen Fällen nicht von der Hand zu weisen. Datenschutzaudits sind eine neue, technisch und rechtlich äußerst anspruchsvolle Herausforderungen. Im Interesse der Objektivierung und Standardisierung bedarf es einer unabhängigen Stelle, welche die Qualität überprüft. Wir haben die Erfahrungen gemacht, dass unsere Kritik und unsere Rückfragen im Rahmen des Verfahrens oft zu einer Verbesserung der zu zertifizierenden Produkte beim Datenschutz geführt hat. Nur so lässt sich auch das begehrte Verbrauchervertrauen herstellen, das letztlich nicht vom Siegel ausgeht, sondern von der Vertrauenswürdigkeit des Zertifizierers. Mit Blick auf den aktuellen Referententwurf meine ich: So geht es nicht. Mit ihm würde der Idee des Audits eher diskreditiert, auch wegen des vorgesehenen hohen bürokratischen Aufwands.

Wenn wir erreichen, dass vertrauenswürdig zertifizierte Produkte und Dienstleistungen zu einem Wettbewerbsfaktor geworden sind, wird dies insbesondere im Online-Bereich eine große Bedeutung haben. So kann – allein über den Markt – eine Verbesserung der einsetzten Technik und Verfahren erreicht werden, ohne dass der Staat aufsichtlich eingreifen müsste. Das Gütesiegel Schleswig-Holstein wird übrigens seit kurzem als European Privacy Seal mit Unterstützung der Europäischen Kommission international etabliert. Es wäre ein Armutszeugnis, wenn Deutschland hinter diesen Standards zurückbleiben würde.

Beim Datenschutzgipfel keine Gegenliebe der Bundesministerien fand der Vorschlag der schleswig-holsteinischen Minister für Verbraucherschutz und für Inneres, Gitta Trauernicht und Lothar Hay, die – ebenso wie vzbv-Chef Billen – forderten, im Wettbewerbsrecht das BDSG als verbraucherschützende Norm ausdrücklich anzuerkennen. Dies würde dazu führen, dass Verbraucherverbände rechtswidrige Verarbeitungspraktiken per Unterlassungsklage abstellen könnten. Der Widerstand hiergegen ist für mich völlig unverständlich. Ein solches Klagerecht gibt es schon bzgl. datenschutzwidriger Allgemeiner Geschäftsbedingungen und hat sich in diesem Bereich – über Jahrzehnte hinweg – bewährt. Beim Gipfel wurde mir entgegengehalten, damit würden die Aufsichtsbehörden geschwächt. Verbraucherschützer sind keine Konkurrenten von Datenschutzaufsichtsbehörden, im Gegenteil. In Schleswig-Holstein wird sowohl auf Landesebene wie auch national mit dem vzbv eng zusammengearbeitet. Die rechtliche Ausgrenzung des Datenschutzes aus dem Verbraucherschutz wird mit dem Vormarsch des Internet als Marktplattform und damit des eCommerce immer anachronistischer. Das Instrumentarium der Datenschutzbehörden und der Verbraucherverbände ergänzt sich geradezu naturwüchsig; daher sollten sie auch genutzt werden können.

Einen charmanten Vorschlag machte die FDP, als sie eine Stiftung Warentest für den Datenschutz vorschlug. Für vergleichende Datenschutzkontrollen fehlt den Aufsichtsbehörden die nötige Ausstattung. Eine Stiftung, die Produkte vergleichenden Tests unterwirft, wird nicht hoheitlich tätig und stärkt im Interesse des Datenschutzes den Wettbewerb.

Bisher wurde in der Öffentlichkeit viel über die Modernisierung des BDSG gesprochen, ohne dass aber dessen technische Antiquiertheit hinreichend thematisiert worden ist. Das BDSG stammt strukturell aus dem Jahr 1990, also aus der Vorinternetzeit. Und so gibt das BDSG auf im Internet sich spezifisch stellende brennende Fragen oft keine Antworten. Es handelt sich vorrangig um drei Fragenkomplexe, die jeweils kurz und knapp formuliert werden können:

  1. Wer ist für was im Netz verantwortlich?
  2. Was dürfen diese Verantwortlichen?
  3. Wie können die Betroffenen diesen gegenüber ihre Rechte realisieren?

Zu 1. Wer ist für was im Netz verantwortlich?

Als vor vier Monaten das ULD das Unternehmen Google wegen dessen Tracking-Tool Analytics anschrieb, fühlte sich das mit über 100 Mrd. Dollar taxierte Unternehmen hiervon beschwert und beschwerte sich gegenüber unserem Ministerpräsidenten Carstensen. Das ULD solle sich bitte schön aus der begründeten Frage, ob Analytics rechtswidrig sei, inhaltlich wie mangels Zuständigkeit heraushalten. Tatsächlich hängt die Frage der Kontrollzuständigkeit der Datenschutzaufsichtsbehörden stark an der Verantwortlichkeit für die Verarbeitung. Googles Erwägung ist in etwa: Was wir in den USA machen, geht das ULD nichts an. Tatsächlich geht es aber bei Analytics einmal um die Datenverarbeitung von Webseitenbetreibern, die auch ihren Sitz in den jeweiligen Bundesländern haben, als auch um die Erhebung von Daten durch Google bei Usern in diesen Ländern. Die Webseitenbetreiber, rechtlich zweifellos verantwortlich, haben, so unsere Erfahrungen, nicht ansatzweise eine Vorstellung, welche Datenverarbeitungsschritte sie mit der Installation von Analytics auslösen. Google legte bisher nicht offen, wo es präzise welche Daten wie verarbeitet. Bekannt ist nur, dass Google weltweit Serverparks betreibt. Irgendwo landen dann wohl die durch Analytics beschafften Daten, unter Umständen in den USA, so wie von Google in seiner Privacy Policy behauptet. Sollte also ausschließlich eine Datenschutzbehörde in den USA zuständig sein, die es gar nicht gibt? 

Ungeklärte Verantwortlichkeiten bestehen ebenfalls bei den im Internet präsentierten Inhalten, wobei es sich oft auch um datenschutzrechtlich unzulässige Inhalte handelt. In Schleswig-Holstein sind derzeit – zu Recht – die vielfältigen Verleumdungen und Diffamierungen bei Rotten Neighbors ein großer Aufreger. Hierfür sind natürlich zunächst die Verfasser der Inhalte verantwortlich. Diese verstecken sich aber regelmäßig in der Anonymität des Netzes. Sind auch die Betreiber der Inhaltsdienste verantwortlich, die ihren Sitz auch in Deutschland und in Europa haben, die von den Inhalten aber i.d.R. überhaupt keine Kenntnis genommen haben? Nach dem Telemediengesetz wäre dies in gesetzlich definierten Ausnahmefällen so; doch die Regelungen des TMG sind formell für die Inhaltsdatenverarbeitung im Internet gar nicht anwendbar. Noch weiter klaffen Anspruch und Wirklichkeit bzgl. der Verantwortlichkeit bei Suchmaschinen auseinander, die durch Speicherung in ihrem Cache nach Datenschutzrecht unzweifelhaft verantwortliche Stelle sind. Ich bin sicher, dass tatsächlich kein Suchmaschinenbetreiber bereit ist, die Verantwortung für alles das zu übernehmen, was er mit seiner Maschine erschließt, also tendenziell die Inhalte des gesamten öffentlichen World Wide Web. Aber selbst die Löschung im Einzelfall erweist sich immer wieder als eine nicht zielführende Never-ending-Story, wie wir im letzten „Spiegel“ anschaulich nachlesen konnten.

Zu 2. Was dürfen die Verantwortlichen?

Die Beantwortung der Frage, was an Verarbeitung erlaubt ist und was nicht, erfolgt durch die §§ 27 ff. des Bundesdatenschutzgesetzes. Bei den gesamten veröffentlichten personenbezogenen Inhalten des Internet müsste in jedem Fall eine Abwägung zwischen berechtigten Interessen und schutzwürdigen Interessen vorgenommen werden. Für die Abfrage bedürfte es der Glaubhaftmachung eines berechtigten Interesses. Nähme man das BDSG wörtlich, so wären Bewertungsportale, z.B. von Lehrkräften, Blogs und Chatbeiträge mit Angaben über andere Personen und vieles mehr rechtswidrig. Ja selbst die harmlose Präsentation der Webseite einer Schule würde regelmäßig den strengen Anforderungen des BDSG nicht genügen. Unser BDSG ist insofern realitätsfern geworden. Daher judizieren die Gerichte restriktiv mit einem triftigen Argument: Unser Grundgesetz kennt nicht nur ein Grundrecht auf informationelle Selbstbestimmung, sondern auch ein Recht auf freie Meinungsäußerung und auf freie Berichterstattung durch Presse und Medien, kennt ein Recht auf freie Information. Diese Grundrechte aus Art. 5 GG tauchen im BDSG an den relevanten Stellen nicht auf. Sie sind aber zentral für die Datenverarbeitung im Internet. Selbst für eine meinungs- und informationsfreundliche verfassungskonforme Auslegung lassen die §§ 27 ff. BDSG oft keinen Raum. Das BDSG muss den Anforderungen der Verfassung gerecht werden. Auch wir Datenschützer müssen erkennen und anerkennen, dass es nicht nur informationelle Selbstbestimmung gibt, sondern auch einen Art. 5 GG.

Zu 3. Wie können die Betroffenen ihre Rechte realisieren?

Politiker werden angesichts der Internetkriminalität nicht müde zu betonen, dass es im Web keine rechtsfreien Räume geben dürfe. Damit haben sie natürlich Recht. Dass das Internet aber im Hinblick auf die Betroffenenrechte des Datenschutzes inzwischen de facto ein rechtsfreier Raum geworden ist, das hat bisher noch zu keinen Gesetzgebungsaktivitäten geführt. Wer im Internet diffamiert und angeprangert wird, der hat oft keine effektive Chance zur Gegenwehr. Er erfährt davon oft erst, nachdem er unter Umständen existenzielle Nachteile erlitten hat. Der Versuch, eine Datenlöschung durchzusetzen, grenzt regelmäßig an etwas objektiv Unmögliches. Was Wirtschaft, gesellschaftliche Institutionen und Politik im realen Leben in Anspruch nehmen, einen Public Relations Manager, das brauchen im virtuellen Raum zunehmend einfache Menschen im negativen Sinn: teuer zu bezahlende „Reputation Defender“. Unsere Gesellschaft will und soll eine soziale Gesellschaft sein, bei der fundamentale Rechte nicht vom Geldbeutel abhängig gemacht werden dürfen. Daher muss der Staat eingreifen, er hat eine Gewährleistungspflicht für die Realisierung der Betroffenenrechte im Netz unabhängig von der Zahlungskraft der Betroffenen.

Unser langfristiges Ziel muss ein internationales Datenschutzrecht für das Internet auf hohem Grundrechtsniveau sein. Solange wir das nicht haben, benötigen wir ein Datenschutzkapitel im BDSG, das Verantwortlichkeiten im Internet real abbildet, das Rechte und Pflichten bei Internetveröffentlichungen so präzise wie möglich festlegt und das den Betroffenen eine wirkliche Chance eröffnet, ihre Rechte wahrzunehmen und durchzusetzen. Das hierfür bisher angebotene rechtliche Instrumentarium ist in Bezug auf das schnell- und zugleich langlebige Internet viel zu schwerfällig und ineffektiv.

Im Internet ist sehr sehr viel möglich. Das ist gut so. Es eröffnet tolle neue Horizonte für Information und Kommunikation. Ich bin der Überzeugung, dass im Internet auch der Schutz der Privatsphäre und der Verbraucherschutz, als informationelle und ökonomische Selbstbestimmung, möglich sind. Wie wir das machen, darüber sollten wir heute weiter diskutieren.

 

Dr. Thilo Weichert ist Landesbeauftragter für Datenschutz Schleswig-Holstein und damit zugleich Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein