7 Neue Medien
7.1 Vorratsdatenspeicherung
Trotz erheblicher verfassungsrechtlicher Bedenken hat der Bundesgesetzgeber die Anbieter von Telekommunikationsdiensten verpflichtet, die Verkehrsdaten aller Teilnehmerinnen und Teilnehmer sechs Monate „auf Vorrat“ und „für den Fall der Fälle“ einer möglichen Fahndung zu speichern. Gespeichert werden u. a. Informationen, wer mit wem wann und womit und von wo kommuniziert hat.
Der Gesetzesbeschluss bedeutet einen Paradigmenwechsel (Tz. 4.3.1 und 29. TB, Tz. 7.1): Zum ersten Mal in der deutschen Geschichte werden alle Bürgerinnen und Bürger in ihren Kommunikationsfreiheiten ohne Ausnahme und ohne einen konkreten Anlass gegeben zu haben beschränkt. Die Dimensionen sind erheblich: Es geht um mehrere Millionen Datensätze zu Kommunikationsbeziehungen, die von den Diensteanbietern für Zwecke der sicherheitsbehördlichen Tätigkeiten einschließlich der Nachrichtendienste täglich neu bereitgestellt werden müssen. Tausende von Betroffenen haben mittlerweile Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt.
Von der Vorratsdatenspeicherung ist jeder Kommunikationsteilnehmer betroffen, der einen öffentlich zugänglichen Dienst der Telekommunikation – ob Telefon über Festnetz, Mobilfunk, E-Mail oder den Zugang zum Internet – nutzt. Ausgenommen sind lediglich die Zugriffe auf Internetseiten, für die nach wie vor restriktive Löschungspflichten gelten.
Erfasst werden auch die Anschlüsse von Teilnehmern, deren Kommunikationen regelmäßig besonderen Vertraulichkeitsverpflichtungen unterliegen, z. B. Ärzten, Strafverteidigern oder Geistlichen. Erfasst werden die Kommunikationen der Bürgerinnen und Bürgern mit ihren Abgeordneten des Land- oder Bundestages. Selbst die Telekommunikationsbeziehungen der Abgeordneten untereinander sind in die staatlich veranlasste Kommunikationserfassung einbezogen, obwohl die demokratisch legitimierten Kontrolleure unabhängig von einer staatlich veranlassten Kommunikationsüberwachung sein sollten. Die Regelung ist für die Diensteanbieter öffentlich zugänglicher Telekommunikationsdienste zum Jahresbeginn 2008 in Kraft getreten. Lediglich die Anbieter von Internetzugangsdiensten, elektronischer Post und Internettelefonie haben noch bis zum Jahresbeginn 2009 Zeit zur Umsetzung.
Ausgenommen von der Verpflichtung zur Vorratsdatenspeicherung sind die Telekommunikationsanbieter für geschlossene Benutzergruppen. Darunter sind Dienste zu verstehen, deren Anschlüsse nicht öffentlich zugänglich sind, sondern die nur einem definierten Teilnehmerkreis – z. B. den Beschäftigten einer Behörde oder eines Unternehmens – als Arbeitsmittel zur Verfügung gestellt werden. Die Gesetzesbegründung nennt ausdrücklich unternehmensinterne Netze, Nebenstellenanlagen oder E-Mail-Server, die ausschließlich den dort immatrikulierten Studierenden zum Arbeiten bereitgestellt werden.
Das ULD hat die Gesetzgebung mit einer ausführlichen Stellungnahme begleitet:
www.datenschutzzentrum.de/presse/20070628-vorratsdatenspeicherung.htm
Was ist zu tun?
Die Zukunft der Vorratsdatenspeicherung liegt nun in der Hand des Verfassungsgerichts.
7.2 Datenschutzgestaltung von Webseiten
Die Landesregierung hat ein neues Content Management System eingeführt (CMS II), über das sich Regierung und Behörden der Öffentlichkeit im Internet präsentieren. Bei der Gestaltung der Datenschutzerklärung hat das ULD das Finanzministerium beraten und unterstützt.
Wie bei zahlreichen anderen Vorhaben des E-Governments bemüht sich das ULD nach Kräften, die Verwaltungen aus Land und Kommunen mit Hinweisen zur Datenschutzgestaltung zu unterstützen, so auch beim neuen CMS II der Landesregierung und beim Online-Beteiligungsverfahren zur Landesentwicklungspla-nung des Innenministeriums (LEP-Online). Auch die Polizei sowie das Ministerium für Justiz, Europa und Arbeit beraten wir hinsichtlich einer gemeinsamen Internetpräsentation der Bundesländer.
Was gehört in eine Datenschutzerklärung?
- Informationen über den Betreiber mit Namen und Adresse („Impressum“),
- Informationen über den Dienstleister, der den Internetauftritt hostet,
- Informationen über den Zweck der Datenerhebung auf dem Webserver,
- Informationen über Cookies und andere automatisierte Erhebungsinstrumente,
- Informationen über die Erhebung über besondere Dienste (z. B. Bestellungen über Webformular, E-Mail usw.).
Die datenschutzrechtliche Grundregel für die Verarbeitung von Daten in Logfiles ist einfach: Personenbezogene Nutzungsdaten sind unmittelbar nach dem Ende der Nutzung zu löschen. So steht es im Telemediengesetz. Dieser Grundsatz gilt auch für die IP-Adresse, denn sie ist zumeist ein „personenbeziehbares“ Datum. Der Gesetzgeber wollte ausdrücklich unterbinden, dass die Nutzung einzelner Webseiten konkreten Personen zugeordnet wird: So wie man einzelne Artikel in seiner Tageszeitung am Frühstückstisch ohne Kontrolle durch den Verlag lesen kann, so soll es nach dem Willen des Gesetzgebers auch online sein.
Dieser Grundsatz gilt im Übrigen auch für die Webseiten, die von der Polizei im Rahmen ihrer Öffentlichkeitsarbeit in das Internet gestellt werden. Demgegenüber hat das Bundeskriminalamt offensichtlich über einen längeren Zeitraum die IP‑Adressen der Besucher der Webseiten mit den Informationen zur Öffentlichkeitsfahndung ausgewertet. Diese Praxis steht im Widerspruch zum Telemediengesetz, ist also rechtswidrig. In Schleswig-Holstein wurde diesem schlechten Vorbild nicht gefolgt; die Webseiten – auch des Landeskriminalamtes – sind datenschutzkonform gestaltet.
Die Verpflichtung zur unmittelbaren Löschung von IP-Adressen wirft Fragen im Umgang mit sogenannten Statistikprogrammen auf, die automatisiert Informationen über die Nutzung der Webseiten eines Anbieters zusammenfassen. Hierbei werden insbesondere auch die IP-Adressen ausgewertet. Die Erstellung einer Nutzungsstatistik ist ein legitimes Interesse des Anbieters. In der Praxis zeigt sich, dass aussagekräftige Statistiken mit den marktgängigen Programmen erstellt werden können, ohne dass der Datenschutz verletzt wird. Hier setzt die Beratung des ULD an.
Wer über seine Webseite automatisiert Daten bei seinen Nutzerinnen und Nutzern erhebt wie z. B. über das Setzen von Cookies, der sollte unbedingt die Erforderlichkeit und in jedem Fall die Voreinstellungen bei dieser Praxis überprüfen. Die Grundregel lautet: Cookies sollten nur eine Gültigkeit für den Zeitraum der aktuellen Nutzung haben (Session). Die Nutzer sind zwingend über das Setzen solcher Programme wie Cookies zu informieren.
Werden Bestelldienste oder eine Kontaktadresse per E-Mail bereitgestellt, so sollten die Nutzerinnen und Nutzer unmittelbar auf dieser Angebotseite über den verantwortlichen Empfänger, den Verwendungszweck sowie etwaige Übermittlungen seiner Daten informiert werden. Auch derartige Informationen sind Pflicht.
Völlig unbrauchbar sind Leerformeln wie „Unsere Datenverarbeitung erfolgt im Rahmen der Datenschutzgesetze.“ Derartige Formulierungen haben keinerlei Informationsgehalt. Bei Nachfragen mussten wir regelmäßig feststellen, dass die Verantwortlichen des Anbieters die gesetzlichen Regelungen nicht kannten. Solche Leerformeln sind ein Hinweis auf fehlende Kenntnisse des Anbieters über seine Pflichten und damit zugleich ein Indiz dafür, dass das Gegenteil des Behaupteten zutrifft.
Noch ein genereller Hinweis: Gut überlegt sein sollte die Freizeichnung von einer Haftung hinsichtlich der Inhalte auf einer Webseite. Wer – als Unternehmen oder als Verwaltung – in seine Datenschutzerklärung den Passus aufnimmt, er hafte für die Inhalte seiner Webseite nicht und sei auch für die von ihm gesetzten Links nicht verantwortlich, hinterlässt einen mehr als nur zwiespältigen Eindruck bei seinen Nutzern. Die Erklärung, ich bin für mich nicht verantwortlich, ist falsch und nützt im Rechtsverkehr wenig, wenn es konkret um eine Haftungsfrage geht. Die Grundregel der Haftung bei Webseiten lautet: Jeder Anbieter haftet für die Inhalte seiner Webseite. Wer zitiert, muss das Zitat überprüfen. Das gilt auch für die von einem Anbieter gesetzten Links. Das Gesetz hat die Haftung für die Inhalte auf der Webseite, auf die verlinkt wird, begrenzt. Mit Kenntnis des Inhalts der Webseite, auf die verlinkt wird, haftet der Anbieter einer Webseite immer. Sorgfalt sollte daher insbesondere auf die Formulierung des Linktextes verwendet werden, mit dem der Anbieter auf eine andere Webseite verweist, weil aus diesem Text erkennbar wird, mit welchem Kenntnisstand er den Link gesetzt hat.
Was ist zu tun?
Verwaltungen und Unternehmen sollten ihre Datenschutzerklärungen nach den oben genannten Grundsätzen auf ihre Datenschutzkonformität hin überprüfen.
7.3 Fiktion oder Realität? „Gesucht wird ...“
Das Internet bietet eine Fülle an Informationen aus öffentlichen Webforen, Blogs und Gästebüchern, deren Wahrheitsgehalt häufig nicht bewertet werden kann.
Ein Petent hat das ULD auf eine Textzeile im Internet aufmerksam gemacht, in der eine mit Namen und Geburtsdatum bezeichnete Person als „Mörder“ gesucht wird. Die Person selbst war dem Petenten nicht bekannt. Sie konnte auch nicht von uns mit den verfügbaren Mitteln identifiziert werden. Nur in einigen wenigen Suchmaschinen war die Suchmeldung ausgewiesen und wurde dort mit „seriösen“ Anbietern in Verbindung gebracht. Eine Nachprüfung dieser Verweise durch uns brachte kein Ergebnis. Ein verantwortlicher Anbieter mit Sitz in Kiel hatte sein Gästebuch mittlerweile geschlossen, „weil es nur Ärger gemacht hat“. In einem anderen Fall – bei einem Sportverein – wird das Webforum mittlerweile von einem anderen Betreiber gepflegt. Das in der Suchmaschine ausgewiesene Forum wird aktuell nicht mehr angeboten und ist nur noch als Rest in der Suchmaschine verfügbar.
Nur in einem Fall konnte das Zitat nach aufwendiger Recherche in einem Blog nachgewiesen werden, dem eine E-Mail-Adresse zugeordnet werden konnte. Letztlich kam es zu keinem aufsichtsbehördlichen Einschreiten, da ohne Kenntnis weiterer Daten, z. B. der Wohnanschrift, nicht aufzuklären war, ob es die gesuchte Person tatsächlich gibt oder ob es sich um eine Fiktion handelt. Die Ergebnisse unserer Nachprüfung sprechen für eine Fiktion.
Der Petent hat sich auch an andere Stellen gewandt, u. a. an den Petitionsausschuss. Dabei zeigte der Petent persönlich seine Sensibilität für den Schutz seiner Identität: Man konnte nur postlagernd oder über eine pseudonyme E-Mail mit ihm kommunizieren. Er rief an, nutzte die Rufnummernunterdrückung und hinterließ keine Rückrufnummer. Postlagernde Briefe wurden allerdings nach Ablauf einer Woche „als nicht abgeholt“ wieder zurückgesandt.
Was ist zu tun?
Die Moderation öffentlich zugänglicher Gästebücher und Webforen ist zeit- und unter Umständen nervenaufwendig. Wer als Anbieter Zeit und Nerven nicht aufbringen will oder kann, sollte auf derartige Angebote lieber verzichten.
7.4 Internetsuchmaschinen
Suchmaschinen sind eine der meistgenutzten Internetangebote, weil mit ihnen gewaltige Informationsmengen erschlossen werden können. Zugleich sind sie wegen der im Internet verfügbaren personenbezogenen Daten wie auch wegen der dabei anfallenden Nutzungsdaten zunehmend ein Datenschutzproblem.
Die Datenverarbeitung mit Internetsuchmaschinen beschäftigt das ULD zunehmend (29. TB, Tz. 10.5). Im Rahmen eines laufenden Wettbewerbsverfahrens äußerten wir gegenüber der EU-Kommission unsere Besorgnis darüber, dass es bei der Fusion des Suchmaschinenbetreibers Google mit dem Online-Werbevermarkter DoubleClick zu einer massiven Verletzung der Datenschutzrechte der Konsumentinnen und Konsumenten in Europa kommen könnte, wenn, was von den beteiligten Unternehmen bisher nicht ausgeschlossen werden konnte, die jeweiligen Datenbestände der Firmen zusammengeführt würden.
Suchmaschinen ermöglichen das Auffinden von Inhalten im Internet. Ein Nutzer oder eine Nutzerin gibt Stichwörter ein, nach denen der Suchmaschinenbetreiber das Internet durchsucht und die Internetseiten, die die jeweiligen Stichworte enthalten, anzeigt. Beim Betrieb von Suchmaschinen fallen in großer Zahl personenbezogene Daten an, die je nach Nutzung einen teilweise hochsensiblen Einblick in die Gewohnheiten und Interessen der Betroffenen ermöglichen. Die meisten der Suchmaschinenbetreiber können die Suchanfragen über die Auswertung der IP‑Adressen einem anfragenden Computer oder gar der diesen verwendenden Person zuordnen. Eine Zusammenführung ermöglicht das Erstellen aussagekräftiger Interessenprofile.
Die DoubleClick Inc. ist der weltweit größte Vermarkter von Online-Werbung. Viele deutsche Online-Anbieter kooperieren mit DoubleClick und schalten von DoubleClick vertriebene Anzeigen auf ihren Webseiten. Ist Werbung von DoubleClick auf einer Webseite, kann ein mit DoubleClick kooperierendes Unternehmen über einen Cookie den Nutzer wiedererkennen und dessen Surfverhalten nachvollziehen. Durch die Fusion mit Google muss befürchtet werden, dass eine Verknüpfung der Interessenprofile Suchanfragen mit den Surfprofilen stattfindet und so ein noch sensiblerer Datenbestand entsteht, über den die Betroffenen faktisch keine Verfügungsmöglichkeit haben. Im Rahmen der Studie „Verkettung digitaler Identitäten“ (Tz. 8.8) sowie im Rahmen der Sommerakademie 2007 haben wir beispielhaft dargestellt, was für eine Informationssammlung durch die Zusammenführung der Datenbestände entstehen kann.
https://www.datenschutzzentrum.de/suchmaschinen/
Was ist zu tun?
Der Dialog zwischen Datenschützern und dem ULD auf der einen Seite und Google und weiteren Suchmaschinenbetreibern auf der anderen Seite muss fortgesetzt werden, um Lösungen für die aus Datenschutzsicht bisher unbefriedigende Situation zu entwickeln und zu implementieren.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |