7 Neue Medien
Endlich hat die politische Diskussion über die Regulierung des Datenschutzes im Internet begonnen (Tz. 2.2). Die Notwendigkeit hierfür besteht schon seit einigen Jahren. Die aggressive Vorgehensweise von US-amerikanischen Firmen auf dem deutschen bzw. europäischen Markt – allen voran Facebook, dicht gefolgt von Google (Tz. 7.2) – macht offensichtlich, dass hier auf politischer wie auf administrativer Ebene schnell und grundsätzlich gehandelt werden muss, wenn die Erosion der informationellen Selbstbestimmung im weltweiten Netz gestoppt werden soll. Dabei spielt die Europäische Union mit ihren Regulierungsmöglichkeiten eine zunehmende Rolle (Tz. 11.1).
7.1 Eine neue – datenschutzkonforme – Rundfunkfinanzierung braucht das Land!
Die grundlegende Reform des Systems der Erhebung der Rundfunkgebühren sieht vor, die bisherige gerätebezogene Gebühr durch einen Beitrag für jede Wohnung bzw. Betriebsstätte zu ersetzen. Der Regelungsvorschlag ist gekennzeichnet durch die Schaffung umfassender Erhebungsbefugnisse und die Verletzung fundamentaler Prinzipien des Datenschutzrechts.
Ziel des Systemwechsels ist die Wahrung der Finanzsicherheit für die öffentlich-rechtlichen Rundfunkanstalten. Auslöser hierfür war nicht die Ausforschung der Gebührenpflichtigen, sondern dass Rundfunkgeräte von sonstigen IT-Geräten nicht mehr eindeutig unterschieden werden können und so jeder Computer die Gebührenpflicht auslöste. Das neue Beitragsmodell sollte auch eine höhere Beitragsgerechtigkeit und eine datenschutzgerechtere Beitragserhebung gewährleisten. Anknüpfungspunkt des neuen Beitrags wird die Wohnung bzw. die Betriebsstätte sein. Sämtliche Bewohnerinnen und Bewohner einer Wohnung werden als Gesamtschuldner für die Zahlung des Rundfunkbeitrags haften. Die Beitragsschuld tritt unabhängig davon ein, ob ein Gerät zum Empfang von Rundfunksendungen vorgehalten wird oder nicht.
Im Interesse des Schutzes der Privatsphäre kann die jahrelang umstrittene Kontrolle des Vorhaltens von Empfangsgeräten durch die Rundfunkgebührenbeauftragten und Gebühreneinzugszentrale (GEZ) entfallen. Die neue Beitragspflicht macht andere Datenarten aus anderen Quellen erforderlich. Die für den Beitragseinzug verantwortlichen Stellen benötigen nun ein Register der in Deutschland existierenden Wohnungen und der darin lebenden Personen. Denn nur einmal pro Wohneinheit soll der Beitrag entrichtet werden müssen. Zugleich soll sichergestellt werden, dass bei einem Auszug die Wohnung nicht aus der Beitragspflicht „entschwindet“.
Die Datenschutzaufsichtsbehörden kritisierten die strenge Anknüpfung der Beitragspflicht an die Wohnung. Ein flächendeckender Beitragseinzug soll nur durch minutiöse Ausforschung der in einer Wohnung lebenden Personen realisierbar sein. Die bei den Meldebehörden bestehenden Melderegister geben keine Auskunft, welche Personen in einer Wohnung zusammenleben. Derartige Erfassungen sollen nunmehr erfolgen. Die Aufsichtsbehörden schlugen deshalb andere Anknüpfungspunkte vor, z. B. die Einkommenssteuerpflicht.
Mit dem Systemwechsel wird also die langjährig kritisierte Praxis der umfangreichen Ausforschung durch die Rundfunkanstalten nicht beendet, sondern nur modifiziert. Die bisherigen Datenerhebungstatbestände wurden leicht geändert und sogar ausgeweitet. Zusätzliche Rechtsgrundlagen für die Datenverarbeitung wurden geschaffen. Der Vorschlag ist durch übermäßige und unverhältnismäßige Datenverarbeitungsbefugnisse der Rundfunkanstalten und ihrer Hilfsorgane, durch fehlende Normklarheit und mangelnde Transparenz geprägt.
Der Entwurf missachtet grundlegende Datenschutzprinzipien. Er ermächtigt die Landesrundfunkanstalten zur Datenerhebung für die Beitragsfestlegung ohne Kenntnis der Betroffenen bei öffentlichen und nicht öffentlichen Quellen. Der Grundsatz der Direkterhebung von Daten wird dadurch entwertet. Eine Erfassung und Verarbeitung der Daten der Betroffenen erfolgt ohne ihre Kenntnis. Die Abweichung vom Prinzip der Direkterhebung ist im Entwurf nicht bestimmt und klar genug geregelt.
Wohl sollen sämtliche Beitragspflichtige einer Meldepflicht unterliegen. Sie sollen die im Staatsvertragsentwurf genannten Daten selbst anliefern. Ist für eine Wohnung kein Wohnungsinhaber bekannt, so stehen den Rundfunkanstalten fast unbeschränkte Möglichkeiten offen, die Nutzer der Wohnung oder Betriebsstelle zu ermitteln. Ungeregelt bleiben das Verhältnis zu den bereichsspezifischen Vorschriften der jeweiligen öffentlichen Quellen, z. B. in Meldegesetzen oder in der Grundbuchordnung, und die Art der zulässigerweise zu erhebenden Daten.
Der Zugriff auf nicht öffentliche Quellen und der Erhebungsumfang werden nicht hinreichend konkretisiert. Erklärter Wille ist es, über diese Ermächtigung weiterhin Daten von privaten Adresshändlern anzukaufen. Ein solcher Ankauf für Zwecke des Adressabgleichs ist nach Auffassung des ULD und anderer Aufsichtsbehörden weder erforderlich noch angemessen. Die Rundfunkanstalten haben bereits jetzt die Möglichkeit des Zugriffs auf geprüfte und qualitätsgesicherte Melderegisterdaten. Die Nutzung ungeprüfter Adresshändlerdaten begründet eine große Gefahr der Nutzung fehlerhafter Daten. Dieser Ankauf ist eine Überprüfung ins Blaue hinein, also keine zielgerichtete Datenerhebung.
Es bedarf dringend der Klarstellung, dass Daten ausschließlich beim Betroffenen zu erheben sind und nur in begründeten Ausnahmefällen ein Rückgriff auf öffentliche Quellen zulässig ist. Die spezialgesetzlichen Erhebungs- und Verarbeitungsbefugnisse dürfen durch die Rechtfertigungstatbestände des Rundfunkbeitragsstaatsvertrages nicht umgangen werden. Die Grundsätze der Datensparsamkeit und Transparenz der Datenverarbeitung müssen durchgängig gewahrt werden.
Was ist zu tun?
Der Landtag Schleswig-Holstein sollte auf eine datenschutzkonforme Ausgestaltung des 15. Rundfunkänderungsstaatsvertrages drängen, um die nachhaltige Finanzierung des öffentlichen Rundfunks nicht mit dem Makel der unverhältnismäßigen Datenverarbeitung zu belasten.
7.2 Street View – visueller, 3-D- und Funk-Blick über den Gartenzaun
Die Hoffnung, Google hätte aus den Kontroversen des Jahres 2009 gelernt und würde den Datenschutz bei der Implementierung von Street View gesetzlich beachten, war trügerisch.
Google Street View
Der von der Google Inc. betriebene Internetdienst Google Street View bildet Straßenpanoramen im Internet ab. Der Nutzer hat die Möglichkeit, virtuell aufgenommene Straßen zu „durchfahren“. Diese Bildaufnahmen wurden mittels Kameras erstellt, die auf Fahrzeugen in 2,90 m Höhe installiert waren.
Das Thema Google Street View beschäftigt das ULD seit über zwei Jahren (32. TB, Tz. 7.2). Bereits im Jahr 2008 hatte sich der Landtag des Dienstes angenommen. Schleswig-Holstein diskutierte früh öffentlich und breit über die damit verbundenen persönlichkeitsrechtlichen Gefahren. Dies geschieht inzwischen bundes- und europaweit auf höchster Ebene. In enger Abstimmung mit dem ULD und den anderen Aufsichtsbehörden des Bundes und der Länder vertrat der Hamburgische Beauftragte für den Datenschutz die Interessen gegenüber der Google Germany GmbH als Vertreterin der Google Inc./USA. Ergebnis der Diskussion um die Zulässigkeit des Dienstes war ein 13-Punkte-Katalog. Dazu gehört u. a. die Berücksichtigung der Widersprüche von betroffenen Bürgerinnen und Bürgern. Nur soweit die in dem Katalog enthaltenen Anforderungen erfüllt sind, ist der Einsatz des Dienstes datenschutzrechtlich nicht zu beanstanden.
.jpg){kind=small}
Nach Angaben des Unternehmens hatte die Google Inc. bereits im Frühjahr 2010 90 % Deutschlands erfasst. Das systematische Fotografieren der Straßenzüge und die Veröffentlichung im Internet ist eine Erhebung und Verarbeitung personenbeziehbarer Daten, denn die von der Erfassung betroffenen Immobilien geben Auskunft über die Lebenssituation der dort Wohnenden. Die mit den Aufnahmen verknüpften Angaben zur Georeferenzierung können als Anknüpfungspunkt für weitere Informationen dienen und haben das Potenzial zur Profilbildung.
Laserscan
Bei einem Laserscan werden Oberflächen zeilen- oder rasterartig durch einen Laserstrahl abgetastet. Das Verfahren wird eingesetzt, um Oberflächen oder Körper zu vermessen. Mit den erhobenen Daten können die vermessenen Objekte u. a. virtuell als Bild oder 3-D-Grafik dargestellt werden.
Im Zuge der Diskussionen um die Zulässigkeit der Erstellung und Veröffentlichung der Bildaufnahmen teilte die Google Inc. mit, nicht nur Fotos erstellt zu haben. Per Laserscan wurde ein dreidimensionales Abbild der fotografierten Häuser und der Umgebung erstellt. Mit dieser Vermessung sollen die Bilder in ein grafisches Modell eingebunden werden. Die erfassten Straßenzüge können so dreidimensional dargestellt werden. Das ULD meint, dass für diese personenbeziehbaren Messdaten ebenfalls die genannten Datenschutzanforderungen gelten. Widersprüche gegen die Veröffentlichung der Bilddaten schließen die im Laserscanverfahren erhobenen Daten mit ein.
So ganz nebenbei teilte Google mit, anlässlich der Erfassung der Straßenzüge auch die Daten privater WLAN-Funknetze erhoben und gespeichert zu haben. Soweit uns bekannt ist, wurden georeferenzierte Angaben zu den MAC-Adressen der Access Points bzw. Router (BSSID), die Namen der Funknetze (SSID), der Verschlüsselungsstatus, die MAC-Adressen der in dem Funknetz angemeldeten Clients und sogenannte „Payload“-Daten erfasst. Zu letzteren gehören sämtliche Daten, die zum Zeitpunkt der Erfassung des Funknetzes in diesem technisch übermittelt wurden. Ein Großteil der gespeicherten Daten war verschlüsselt. Deren Inhalt kann daher durch Google nicht ausgewertet werden. Doch wurden auch unverschlüsselte Informationen auf den Festplatten des Unternehmens gefunden. Die vom Hamburgischen Beauftragten für den Datenschutz und Informationsfreiheit begonnene Untersuchung dauert an.
7.3 Stalking im Internet
Verfolgung und Belästigung betreffen auch die digitale Gesellschaft. Das ULD wird verstärkt um Beratung in Fällen gebeten, in denen Personen über das Internet belästigt und verleumdet wurden.
In diesen Fällen hatten die Angreifer detaillierte Kenntnisse über die verfolgten Personen. Die Angreifer nutzten die bei vielen Anbietern von Internetdiensten eher schwachen Mechanismen zur Identitätsprüfung. Häufiges Ziel sind die Profile der Betroffenen in sozialen Netzwerken. In mehreren Fällen veränderten die Angreifer bestehende Profile oder erstellten einfach konkurrierende oder neue Profile in Facebook, studiVZ oder meinVZ. Diese Profile wurden durch das Hintergrundwissen der Angreifer so gut mit Informationen gefüllt, dass Besuchern dieser Profile die Fälschung nicht auffiel.
Die Angreifer nutzten diese gefälschten Profile, um Bekannte, Freunde und Arbeitskollegen der Betroffenen zu kontaktieren und so das soziale Netzwerk der Person zu übernehmen. Daraufhin wurden im Profil z. B. diffamierende Äußerungen über die angebliche sexuelle Freizügigkeit der Betroffenen, finanzielle Probleme, laufende Strafverfahren oder Ähnliches verbreitet. Für die Betroffenen haben diese Angriffe weitreichende Konsequenzen; sie stellen oft eine unerträgliche Belastung der familiären und beruflichen Beziehungen dar.
Zunächst raten wir allen Betroffenen, bei der zuständigen Polizeidienststelle Anzeige zu erstatten. Die Anbieter von sozialen Netzwerken reagieren häufig nach Kenntnisnahme solcher Angriffe mit dem simplen Löschen der kompromittierenden Inhalte. Dies hilft oft aber nur kurzfristig, weil die Angreifer schnell ein neues Profil unter gleichem Namen erstellen oder eine andere Plattform nutzen.
Gerade wegen des hohen Schadens, den eine Profilfälschung in sozialen Netzwerken anrichten kann, fordert das ULD von den Betreibern eine deutlich bessere Authentifizierung der Nutzerinnen und Nutzer. Zumindest sollten von solchen Angriffen betroffene Personen technische und organisatorische Hilfen zum Selbstschutz erhalten. Schnelle Abhilfe brächten Prüflisten bei den Anbietern, die beim Anlegen eines neuen Profils unter demselben Namen eine manuelle Prüfung durch den Anbieter erfordern.
Das ULD unterstützt in den vorliegenden Fällen die zuständigen Strafverfolgungsbehörden und arbeitet auf einen regelmäßigen Erfahrungsaustausch hin. Wir werden die Anbieter von Diensten mit erhöhtem Gefahrenpotenzial des digitalen Stalkings mit den Vorfällen konfrontieren und zur Umsetzung besserer Sicherheitsmaßnahmen auffordern.
Was ist zu tun?
Anbieter von sozialen Netzwerken müssen ihre Nutzer vor Profildiebstahl und Profilfälschung besser als bisher schützen. Ein einfaches Löschen reicht nicht. Das ULD unterstützt die Strafverfolgungsbehörden durch Beratung und wird versuchen, zusammen mit den Anbietern bessere Schutzmaßnahmen für die Nutzer zu finden.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
