Freitag, 29. Juli 2011

5: Stellungnahmen

Stellungnahme des ULD gegenüber dem Niedersächsischen Landtag zum Antrag der Fraktion der SPD „Selbstdatenschutz stärken – den Datenausweis einführen!“ (LT-Drs. 16/3523)

Thema: Datenverarbeitungstransparenz für Nutzende in Online-Netzen

Inhalt des Antrags

Der Antrag zielt auf die "Einführung eines verpflichtenden Datenausweisesfür Mobiltelefone, Internetpräsenzen und Softwareprogramme ..., die Datenübertragungen im Hintergrund vornehmen", wobei über folgende Dinge "klar und verständlich Auskunft" gegeben werden soll:

  • "Zu welchem Zweck werden die Daten gespeichert?
  • Werden diese Daten an Dritte weitergegeben?
  • Wie lange bleiben die Daten gespeichert?
  • Wie anonym werden die Daten übertragen?
  • Gibt es Opt-in, Opt-out oder ist eine Abschaltung möglich?
  • Findet eine Zusammenführung von Daten statt?"

Mit der übersichtlichen Anzeige, welche und wie viele Daten versendet werden, soll es den Nutzenden ermöglicht werden, "selber zu entscheiden, welche Produkte sie benutzen, und vor allem auch zu vergleichen und gegebenenfalls auf verbraucherfreundliche Produkte umzusteigen."

Außerdem dringt der Antrag darauf, den Nutzerinnen und Nutzern der Neuen Medien zur Sicherung eines umfassenden Persönlichkeitsschutzes technische Instrumente sowie die nötige Infrastruktur für einen Selbstdatenschutz zur Verfügung zu stellen. In der Begründung wird angeben, hierzu gehöre "die selbstbestimmte Wahl von anonymen Nutzungen, von Pseudonymen, von Verschlüsselungstechniken oder auch die Möglichkeit, sich durch Zugriff auf die Datenschutzerklärung der Daten verarbeitenden Stelle jederzeit ausreichende Gewissheit über die Bedingungen der Datenverarbeitung zu verschaffen."

Stellungnahme

Der Antrag stellt richtig fest, dass es ein gewaltiges Informationsgefällezwischen Internet- bzw. Smartphone-Nutzenden und Mediendiensteanbietern gibt: Während die Anbieter von Telemediendiensten systembedingt viele Inhalts-, Verkehrs- und Identifizierungsdaten von den Nutzerinnen und Nutzern erfahren, haben diese i. d. R. keine und in jedem Fall unvollständige Kenntnis über Art und Umfang der zu ihrer Person erhobenen Daten sowie über deren Speicherung, Auswertung und kommerzielle oder sonstige Nutzung.

Richtig ist auch der Ansatz des Antrags, im Interesse des Schutzes der Verbraucherinnen und Verbraucher diese über die Gefahren zu informieren, damit diese Abwehrstrategien entwickeln können. Diese Aufgabe ist komplexer als die Information von Verbrauchern in anderen Bereichen. Der Antrag nennt hier als Beispiele den „Energieausweis für Gebäude und den Energie-Label für Haushaltsgeräte." Während bei diesen Beispielen klare Aussagen über die Verantwortlichkeiten und das Maß des Energieverbrauchs möglich sind, handelt es sich bei der angesprochenen personenbezogenen Datenverarbeitung um äußerst komplexe Informationen und Verarbeitungsprozesse.

Zu den in der Antragsbegründung genannten, in einem „Datenausweis“ zu machenden Angaben sind folgende Anmerkungen zu machen: Daten werden bei der Online-Kommunikation zu verschiedenen Zwecken erfasst (s. u.). Die Begriffe „gesendet“ und „übertragen“ sind im Datenschutzrecht nicht eingeführt. Der Begriff „weitergegeben“ erfasst zwei rechtlich sehr unterschiedlich zu bewertende Formen der Datenverarbeitung: die Datenübermittlung und die Verarbeitung im Auftrag. Eine graduelle Kennzeichnung von Anonymität ist objektiv nicht möglich, weil Anonymität davon abhängt, welches Zusatzwissen vorhanden oder verfügbar ist. Bei der Dauer der Speicherung ist zu unterscheiden, ob Daten unwiederbringlich vernichtet oder deren Referenzen gelöscht werden, ob diese und in welcher Form diese anonymisiert oder pseudonymisiert werden.

Im Datenschutzsinn verantwortliche Stelle sind bzw. können sein: Netzanbieter, auch soweit sie zugleich Telemediendienste anbieten, sonstige Anbieter von direkt angesteuerten Telemedien, Anbieter von Applikationen, die sich der Nutzende auf sein Gerät heruntergeladen hat, Dienstleister, die für die Telemedienanbieter Datenverarbeitung (z. B. Datenanalysen) durchführen, Anbieter, die zumeist pseudonymisiert auf der Basis der Nutzungsdaten Werbung bereitstellen und clickbezogen abrechnen, sowie Unternehmen, die Werbung oder sonstige Links schalten, wenn auf diese geclickt wird. Der Nutzende selbst kommt als verantwortliche Stelle in Betracht, wenn er z. B. wenn er Daten über Dritte erhebt und ins Netz stellt oder wenn er den Zugriff Dritter auf sein Adressbuch erlaubt. 

Für eine Nutzung und Datenweitergabe kommen unterschiedliche Zwecke in Betracht: Erbringung einer vom Nutzer in Anspruch genommenen Dienstleistung, Abrechnung, Sicherheit des Dienstes, bedarfsgerechte Gestaltung des Dienstes, Werbung, Markt- und Meinungsforschung. Die rechtlich erlaubten Zugriffe, Speicherfristen, Auswertungen bzw. Datenweitergaben können sich hinsichtlich dieser Zwecke unterscheiden.

Die Transparenz der Verarbeitung von Onlinenutzungsdaten und die Zulässigkeit dieser Verarbeitung sind derzeit stark in der Diskussion. Anwendbar sind insofern derzeit v. a. § 15 Telemediengesetz (TMG) sowie der die Einwilligung regelnde § 12 Abs. 1, 2 TMG.

Ein vom Land Hessen über den Bundesrat eingebrachter Vorschlag (vom 31.03.2011, BR-Drs. 156/11) sieht für den § 13 Abs. 1 S. 1 TMG folgenden Wortlaut vor:

Werden personenbezogene Daten des Nutzers erhoben, hat der Dienstanbieter den Nutzer zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form, leicht erkennbar und unmittelbar erreichbar über

  1. Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten,
  2. die Kategorien der Empfänger nur, soweit der Nutzer nach den Umständen des Einzelfalls nicht mit der Weitergabe rechnen muss,
  3. die zuständige Aufsichtsbehörde für den Datenschutz und
  4. die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31), die durch die Verordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003, S. 1) geändert worden ist, zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Das ULD hat zu diesem Vorschlag mit Datum vom 06.04.2011 eine tendenziell positive Stellungnahme abgegeben, die bei Wunsch gerne zur Verfügung gestellt wird.

Für die Nutzung von Verkehrsdaten gilt seit Ende 2009 auf europäischer Ebene zudem Art. 5 Abs. 3 ePrivacy-Directive, der folgende Formulierung enthält:

(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Nach Ablauf der Umsetzungsfrist geht das ULD davon aus, dass diese europäische Regelung direkt anwendbar ist. Zur Umsetzung von Art. 5 Abs. 3 steht folgender Formulierungsvorschlag für einen 13 Abs. 8 TMG im Raum (BR-Drs. 156/11 (B) vom 17.06.2011):

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- und Kommunikationsdienst zur Verfügung stellen zu können.

Bei Einwilligungen gilt generell, dass deren Wirksamkeitsvoraussetzung eine hinreichende Information der Betroffenen ist (vgl. § 4a BDSG, § 13 Abs. 2 TMG).

Bei jeder dem Verbraucherschutz dienenden Unterrichtung, insbesondere bei der Verbindung mit einer Erklärung (Einwilligung), ist darauf zu achten, dass die Verbraucherinnen und Verbraucher intellektuell, technisch und hinsichtlich der Aufmerksamkeit nicht überfordert werden. Daher muss eine Unterrichtung so informativ und so knapp wie möglich, also nur so umfangreich wie nötig sein. Überinformation oder Informationsredundanzen sind ebenso wenig für die informationelle Selbstbestimmung förderlich wie unbestimmte, zu knappe und beschönigende oder verschleiernde Informationen.

Um diesen Anforderungen, die sowohl einen praktischen wie auch einen rechtlichen Hintergrund haben, zu genügen, ist bei datenschutzrelevanten Informationen zwischen strukturellen und situativen Informationen zu unterscheiden, also zwischen für die Zukunft gültigen grundsätzlichen Einstellungen und sich daraus ergebenden Datenverarbeitungen einerseits und datenschutzrelevanten Vorgängen andererseits, bei denen eine Information im Einzelfall angezeigt ist.

Wie eine hinreichende Verbrauchertransparenz bzgl. der Internet- und Smartphone-Kommunikation erreicht werden kann, ist nicht nur eine Frage der Gesetzgebung, sondern auch die der technischen Gestaltung. Insbesondere angesichts des begrenzten Platzes auf den Displays von Smartphones sind an die Gestaltung der dargestellten Informationen hohe Anforderungen zu stellen. Entsprechendes gilt für Optionsmöglichkeiten. Zur Optimierung der Transparenz- und Wahlmöglichkeiten für die Nutzenden ist insofern Forschung zur Weiterentwicklung der bestehenden Angebote wünschenswert. Vorarbeiten hierzu wurden beispielsweise im Rahmen der europäischen Projekte FIDIS, PICOS PRIME und PrimeLife, durchgeführt.

In diesem Sinne können auch unternehmensübergreifende Standardisierungen wirken, die auf der nationalen Ebene durch das Deutsche Institut für Normung (DIN) und auf internationaler Ebene durch die ISO (International Organization for Standardization) und die IEC (International Electrotechnical Commission) oder das W3C (World Wide Web Consortium) erreicht werden können.

In diesem Zusammenhang erlaube ich mir darauf hinzuweisen, dass das Unabhängige Landeszentrum für Datenschutz als Datenschutzzertifizierungsstelle nach nationalem und nach europäischem Recht (Datenschutz-Gütesiegel, European Privacy Seal) bei der Zertifizierung von IT-Produkten und -Dienstleistungen darauf achtet, dass eine größtmögliche Transparenz für die Betroffenen hergestellt wird bzw. werden kann. Dienste und technische Systeme mit entsprechend vorbildlichen Informationsangeboten sind als Transparency Enhancing Technologies, eine wichtige Kategorie von Privacy Enhancing Technologies (PET), besonders für solche Zertifizierungen geeignet.

Ergebnis

Gemäß dem oben Gesagten kann dem SPD-Antrag im Ergebnis zugestimmt werden, soweit die Formulierung „verpflichtender Datenausweis“ nicht wörtlich und nicht wie in der Begründung spezifiziert verstanden wird. In jedem Fall beschränkt sich der Antrag auf eine programmatische Aussage. Dessen einfachgesetzliche Umsetzung muss die o. g. Erwägungen und Entwicklungen mit berücksichtigen.

Thilo Weichert